打印

[求助] 各位大侠快来帮帮忙！我中AVKILLER.XNXLUFI好几个木马病毒了

本主题由铁军于 2008-6-30 00:04 合并

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

1楼大中小发表于 2008-6-29 16:09 只看该作者

各位大侠快来帮帮忙！我中AVKILLER.XNXLUFI好几个木马病毒了

昨天电脑是新装的新系统，用金山杀了当时没有杀出来，过段时间就出来病毒了！病毒文件名称：lee.exe  run.exe  run2.exe home.vbs
今天我又重新了系统，现在用金山清理专家检查又发现被安装了AVKILLER.XNXLUFI  异常的SHELL 软件！过段时间老释放这几个病毒病毒
病毒 2008-06-29  15:40:17 病毒在文件C:\WINNT\system32\wmsoft58862.exe中 Worm.Kolabc.ae.188416 处理成功（操作：删除）
病毒 2008-06-29  15:36:48 病毒在文件C:\WINNT\system32\wmsoft84068.exe中 Win32.Hack.PcClient.bc.2318336 处理成功（操作：删除）
病毒 2008-06-29  15:21:53 病毒在文件C:\WINNT\system32\sghy.exe中 Worm.Kolabc.212992 处理成功（操作：删除）

清理专家在线诊断的报告：
==============================================================
      金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:          2008-06-29, 16:05
诊断平台:          Windows 2000 [5.0.2195] Service Pack 4
IE版本:             Internet Explorer V6.0.1106.2800
计算机物理内存:    2047(MB)
当前可用内存:       1603(MB)
硬盘总大小:       148(GB)
硬盘可用空间:       143(GB)
清理专家版本:       2008.06.13.404
恶意软件库版本:    2008.06.03.1
漏洞库版本:       2008.06.26.1

==============================================================
      常规启动项
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      [NvidMediaCenter]    <C:\Program Files\Common Files\System\wmsncs.exe>
      文件路径: C:\Program Files\Common Files\System\wmsncs.exe [未知]
      [Spool Driver Service] <C:\WINNT\system32\spool\drivers\wmsncs.exe>
      文件路径: C:\WINNT\system32\spool\drivers\wmsncs.exe [未知]
      [Wins Service]       <C:\WINNT\system32\wins\wmsncs.exe>
      文件路径: C:\WINNT\system32\wins\wmsncs.exe [未知]

==============================================================
      启动文件夹位置
==============================================================
Common Startup:    C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:          C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:    %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
      开始菜单启动项
==============================================================
<wmsncs.exe>  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe>
文件路径: C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe [未知]

==============================================================
      Host File
==============================================================
127.0.0.1    localhost
==============================================================
      系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      [NET Runtime Optimization Service v2.1.41329_X86] [已启用] <"C:\WINNT\Fonts\wmsncs.exe">

==============================================================
      驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      [ATSpy] [已启用]             <\??\C:\WINNT\system32\ATSpy.sys>

==============================================================
      屏幕保护程序
==============================================================
该项来源: HKEY_CURRENT_USER\Control Panel\Desktop
      [SCRNSAVE.EXE]       <(无)>

==============================================================
      ActiveX控件
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
      [{103L3C30-C3B3-4130-9363-E59E1375PERM}]
      <{103L3C30-C3B3-4130-9363-E59E1375PERM}>       <C:\WINNT\Fonts\wmsncs.exe>
--------------------------------------------------------------
该项来源: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components
      [{103L3C30-C3B3-4130-9363-E59E1375PERM}]
      <{103L3C30-C3B3-4130-9363-E59E1375PERM}>       <C:\WINNT\Fonts\wmsncs.exe>

==============================================================
      其他安全区域
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
      [显示摇曳 CPL 扩展]       <deskpan.dll>

杀毒日志：

手动杀毒（按时间降序排列）
信息 2008-06-29 16:06:09 金山毒霸主程序启动
信息 2008-06-29 16:03:14 金山毒霸主程序退出
信息 2008-06-29 16:03:14 金山毒霸主程序退出
信息 2008-06-29 16:01:44 您此次查毒共查出0个病毒以及危险代码
信息 2008-06-29 16:01:44 您此次查毒共查了内存模块279个，磁盘引导扇区5个，文件53392个
信息 2008-06-29 16:01:44 金山毒霸主程序查毒过程结束，查毒方式：查杀病毒木马
信息 2008-06-29 15:51:11 查杀病毒木马
信息 2008-06-29 15:51:10 选择移除恶意软件：AVKiller.xnxlufi
信息 2008-06-29 15:51:10 选择移除恶意软件：异常的Shell
信息 2008-06-29 15:49:45 发现恶意软件：AVKiller.xnxlufi
信息 2008-06-29 15:49:45 发现恶意软件：异常的Shell
信息 2008-06-29 15:49:42 扫描恶意软件
信息 2008-06-29 15:49:40 金山毒霸主程序启动
信息 2008-06-29 15:44:49 系统即将重新启动，金山毒霸主程序响应退出。
信息 2008-06-29 15:39:42 金山毒霸主程序启动
信息 2008-06-29 15:25:44 金山毒霸主程序退出
信息 2008-06-29 15:25:44 金山毒霸主程序退出
信息 2008-06-29 15:23:06 金山毒霸主程序启动

防毒日志：
实时防毒（按时间降序排列）
信息 2008-06-29 15:46:38 KWatch3.SYS开始运行
信息 2008-06-29 15:46:38 KAEngine初始化成功
信息 2008-06-29 15:46:23 KWatch3.SYS初始化成功
信息 2008-06-29 15:46:23 KWatch3.SYS开始加载
信息 2008-06-29 15:46:23 KAVIPC开始运行
信息 2008-06-29 15:46:23 KAVIPC初始化成功
信息 2008-06-29 15:46:23 KAVIPC开始加载
信息 2008-06-29 15:46:23 Windows Security Center初始化成功
信息 2008-06-29 15:46:23 Restore-Module初始化成功
信息 2008-06-29 15:46:23 Windows Logon Splash初始化成功
信息 2008-06-29 15:46:23 金山毒霸文件实时防毒开始加载
信息 2008-06-29 15:44:52 KWatch3.SYS已经停止
病毒 2008-06-29 15:40:17 病毒在文件C:\WINNT\system32\wmsoft58862.exe中 Worm.Kolabc.ae.188416 处理成功（操作：删除）
病毒 2008-06-29 15:36:48 病毒在文件C:\WINNT\system32\wmsoft84068.exe中 Win32.Hack.PcClient.bc.2318336 处理成功（操作：删除）
病毒 2008-06-29 15:21:53 病毒在文件C:\WINNT\system32\sghy.exe中 Worm.Kolabc.212992 处理成功（操作：删除）
信息 2008-06-29 15:21:43 金山毒霸文件实时防毒被通知重启
信息 2008-06-29 15:19:49 KWatch3.SYS开始运行
信息 2008-06-29 15:19:49 KAEngine初始化成功
信息 2008-06-29 15:19:48 KWatch3.SYS初始化成功
信息 2008-06-29 15:19:48 KWatch3.SYS开始加载
信息 2008-06-29 15:19:48 KAVIPC开始运行
信息 2008-06-29 15:19:48 KAVIPC初始化成功
信息 2008-06-29 15:19:48 KAVIPC开始加载
信息 2008-06-29 15:19:48 Windows Security Center初始化成功
信息 2008-06-29 15:19:48 Restore-Module初始化成功
信息 2008-06-29 15:19:48 Windows Logon Splash初始化成功
信息 2008-06-29 15:19:48 金山毒霸文件实时防毒开始加载

各位快帮帮下弟吧！！头疼

[ 本帖最后由 ylev 于 2008-6-29 09:58 编辑 ]

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

2楼大中小发表于 2008-6-29 16:15 只看该作者

晕！重起了下机器，开机的时候又抢杀了个病毒！
病毒 2008-06-29 16:12:07 C:\WINNT\Fonts\wmsncs.exe 清除成功

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

3楼大中小发表于 2008-6-29 16:23 只看该作者

现在重新开机就老是出来病毒 2008-06-29 16:12:07 C:\WINNT\Fonts\wmsncs.exe 清除成功！各位大侠快来帮帮小弟！

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

4楼大中小发表于 2008-6-29 16:30 只看该作者

都来看看吧！！！我在线等呢

TOP

mouse_0232

幸福的耗子

上将(超级版主)

一切为会员服务

积分: 7421
威望: 15595
元宝: 65
铜钱: 772

星光奖最佳伯乐勋章伯乐星光奖勋章安全之星勋章周刊评论员 PhotoShop 愛好者網頁設計者我有博客非單身

5楼大中小发表于 2008-6-29 16:41 只看该作者

下载删除工具(无敌删除器)
(DelayDelFile.rar)或参考http://bbs.duba.net/thread-21914617-1-1.html
说明：解压并打开DelayDelFile,复制以下待删除文件列表-->粘贴进(Ctrl+V)第一个空白框中-->按"添加"-->点击"删除"按钮
删除以下文件，再把该工具删除时备份的_Backup_文件夹打包传上来

C:\Program Files\Common Files\System\wmsncs.exe
C:\WINNT\system32\spool\drivers\wmsncs.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe
C:\WINNT\system32\wins\wmsncs.exe
C:\WINNT\Fonts\wmsncs.exe

本帖最近评分记录

annygi 威望 +2 希望將一些必要的后續步驟也寫上。 2008-6-29 16:49

爱毒霸社区感恩活动好礼相送
★★★每周QQ表情和头像推荐★★★(9月1日~9月7日)
¤¤¤QQ技术攻略总汇¤¤¤(7月6日整理)
看帖必回,是一种美德
金山样本收集组2群号:34520456(求助人员禁止加入)
互联网的力量是无穷大的，毒霸现在把大家联成一线，让大家都成为反病毒的一线主体

TOP

cchao21

爱毒霸社区缉毒队

积分: 1427
威望: 3087
元宝: 5
铜钱: 1978

天才奖新人进步奖安全精英安全之星勋章

6楼大中小发表于 2008-6-29 16:41 只看该作者

使用金山顽固文件删除工具(点击下载)
解压并打开DelayDelFile,复制以下待删除文件列表-->粘贴进(Ctrl+V)第一个空白框中-->按"添加"-->点击"删除"按钮
执行操作. 然后把 _backup_文件夹用 winrar打包,然后上传附件.

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe
C:\WINNT\Fonts\wmsncs.exe
C:\WINNT\system32\spool\drivers\wmsncs.exe
C:\WINNT\system32\wins\wmsncs.exe
C:\Program Files\Common Files\System\wmsncs.exe
C:\WINNT\system32\spool\drivers\wmsncs.exe
最后运行金山清理专家清理下。
http://bbs.duba.net/thread-21915967-1-1.html
－>恶意软件查杀。

本帖最近评分记录

annygi 威望 +2 希望將一些必要的后續步驟也寫上。 2008-6-29 16:49

TOP

annygi

Annygi

荣誉版主

http://kokoboy.ys168.com

积分: 7586
威望: 14856
元宝: 10
铜钱: 3476

最勤奋版主优秀版主勋章终身成就奖幕后英雄勋章安全精英毒霸MVP勋章技术达人病毒解剖师安全新秀清理专家电脑清理高手影音大使安全大师系统维护专家插件大侠进程新星系统狂人启动小师傅杀软原创技术写手勋章杀软技术新人勋章安全之星勋章最佳红客爱毒霸社区技术大师爱毒霸社区技术拉风人物电脑技术指导电脑技术专家周刊评论员

7楼大中小发表于 2008-6-29 16:47 只看该作者

建議使用DelayDelFile(DelayDelFile下载頁麵 or 使用圖解)  刪除以下文件：

C:\Program Files\Common Files\System\wmsncs.exe
C:\WINNT\system32\spool\drivers\wmsncs.exe
C:\WINNT\system32\wins\wmsncs.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe
C:\WINNT\Fonts\wmsncs.exe

2、將在目錄下的_BackUp_壓縮文件包，以EMail方式发送到: zu7913@tom.com 或者上传到金山病毒样本区

3、將以下項目全部刪除或脩復：

      常规启动项
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      [NvidMediaCenter]    <C:\Program Files\Common Files\System\wmsncs.exe>
      文件路径: C:\Program Files\Common Files\System\wmsncs.exe [未知]
      [Spool Driver Service] <C:\WINNT\system32\spool\drivers\wmsncs.exe>
      文件路径: C:\WINNT\system32\spool\drivers\wmsncs.exe [未知]
      [Wins Service]       <C:\WINNT\system32\wins\wmsncs.exe>
      文件路径: C:\WINNT\system32\wins\wmsncs.exe [未知]

      开始菜单启动项
==============================================================
<wmsncs.exe>  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe>
文件路径: C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wmsncs.exe [未知]

      系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      [NET Runtime Optimization Service v2.1.41329_X86] [已启用] <"C:\WINNT\Fonts\wmsncs.exe">

      屏幕保护程序
==============================================================
该项来源: HKEY_CURRENT_USER\Control Panel\Desktop
      [SCRNSAVE.EXE]       <(无)>

==============================================================
      ActiveX控件
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
      [{103L3C30-C3B3-4130-9363-E59E1375PERM}]
      <{103L3C30-C3B3-4130-9363-E59E1375PERM}>       <C:\WINNT\Fonts\wmsncs.exe>
--------------------------------------------------------------
该项来源: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components
      [{103L3C30-C3B3-4130-9363-E59E1375PERM}]
      <{103L3C30-C3B3-4130-9363-E59E1375PERM}>       <C:\WINNT\Fonts\wmsncs.exe>

Annygi留言本　感謝“空指针”對友人D指教，深思更謹慎
爱毒霸社区宗旨是消灭0回复，您的所有问题，在这里都将找到答案
想知道鐵軍、鏽劒等高手如何進行反病毒麼，這裏進入吧…>新手入門
Annygi仅表达个人观点、提供个人建议，并不代表金山官方立场

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

8楼大中小发表于 2008-6-29 17:04 只看该作者

好，谢谢/！我试试！

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

9楼大中小发表于 2008-6-29 17:26 只看该作者

这个文件没有找到！C:\WINNT\system32\spool\drivers\wmsncs.exe

这是我删掉文件的报告，没问题了吧！

==============================================================
      金山清理专家系统诊断报告

该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================

诊断时间:          2008-06-29, 17:23
诊断平台:          Windows 2000 [5.0.2195] Service Pack 4
IE版本:             Internet Explorer V6.0.1106.2800
计算机物理内存:    2047(MB)
当前可用内存:       1740(MB)
硬盘总大小:       148(GB)
硬盘可用空间:       143(GB)
清理专家版本:       2008.06.13.404
恶意软件库版本:    2008.06.03.1
漏洞库版本:       2008.06.26.1

==============================================================
      启动文件夹位置
==============================================================

Common Startup:    C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:          C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:    %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
      Host File
==============================================================

127.0.0.1    localhost

==============================================================
      其他安全区域
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

      [显示摇曳 CPL 扩展]       <deskpan.dll>

TOP

cchao21

爱毒霸社区缉毒队

积分: 1427
威望: 3087
元宝: 5
铜钱: 1978

天才奖新人进步奖安全精英安全之星勋章

10楼 大中小发表于 2008-6-29 17:27 只看该作者

恭喜你了，一切正常。
最后再下载临时文件清理工具，清理下系统垃圾。
http://www.dodudou.com/down/ATF-Cleaner-cn.exe

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

11楼 大中小发表于 2008-6-29 17:30 只看该作者

恩~！谢谢你们大伙了！！！！！真是太谢谢了！

TOP

ylev

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 24

12楼 大中小发表于 2008-6-29 17:54 只看该作者

金山可疑文件扫描KAVDXSetup 危险吗？

用金山可疑文件扫描，扫到这个 C:\WINNT\system32\KAVDXSetup.exe 这个文件危险吗？

TOP

黑白徽章

BO

上将(超级版主)

低调

积分: 14638
威望: 31339
元宝: 70
铜钱: 610

最勤奋版主星光奖音乐之花最佳伯乐勋章辛苦奖清理专家季度伯乐最佳勋章伯乐感恩勋章启动小师傅安全之星勋章启动项智多星进程智多星奥运安全智多星 QQ皮肤达人最佳红客爱毒霸社区技术大师爱毒霸社区技术拉风人物电脑技术指导电脑技术专家奥运小密探周刊评论员 PhotoShop 愛好者動畫設計者網頁設計者我有博客家有寵物