无奈，朋友的电脑中了威金和FUN.XLS.EXE

显示全部楼层 · 发表于 2007-4-24 13:42:21

无奈，朋友的电脑中了威金和FUN.XLS.EXE

半年前，我帮朋友安装了系统，装完后GHOST。GHOST时机子里只有OFFICE 2003和防火墙
半年后，朋友将电脑拿到我那里的时候，系统已经彻底崩溃了，具体表现，开机进入桌面后，电脑成假死状态，CPU占用100％，硬盘一直在读写，鼠标键盘都动不了。一看进程54个，好多重名的，知道不妙。如是先用一张系统维护盘进入DOS，用了江明的杀毒工具杀毒（病毒库比较旧，20061222），杀了几个木马。再次启动还是跟杀毒前的状态一样，根本不能用。于是用GHOST恢复到了原始状态，此时进入系统，发现隐藏的文件及时让它们显现也看不到。用U盘将虚拟光驱和老毛桃07418的PE拷到硬盘安装，进入PE，发现了这些在WINDOS下无法看到的文件，其中有FUN.XLS.EXE和一些不知名的文件。没有太在意直接删除了。用PE带的卡巴杀毒，竟然提示我9个VKING病毒，清除之，之后，又将D盘文件（图片和MP3）拷到E盘（驱动备份），格式划D盘，之后如法炮制，格式化E盘（之前的备份也没了）。以为这下就可以了，重启再安装KIS621，再次重启进入桌面后机子又成假死状态。以为是KIS问题，进入安全模式又卸载不了。无意中发现FUN.XLS.EXE在运行，启动项里多了两个程序,msime82.exe和msfun80.exe。将它们勾掉（不随机启动）重启后发现还是随机启动了，搜索注册表删除相关项，再次进入系统，没有假死的状态，但是发现机子上的OFFICE 软件不能用了，进入PE发现发现不能用。
今天上网查，才知道FUN.XLS.EXE也是病毒。
唉，都不知道朋友的电脑毒杀干净没有，我现在还不敢点击EXE文件，卡巴也不敢装。
出了格式化硬盘外，还有没有其它的方法，各位，拜托了，偶被它们折磨得不行了。

显示全部楼层 · 发表于 2007-4-24 14:38:17

威金确实厉害，我在一次裸奔中中过，并舍身提取了病毒样本。后装了KIS6全部清除并成功修复。

根据你的描述，可能是被交叉感染了。
手工杀毒其实也就几要点：升级后断网、清临时文件、安全模式、启动项、系统服务……大胆细心些，病毒并不难查杀。

显示全部楼层 · 发表于 2007-4-24 16:01:43

Q469428271

显示全部楼层 · 发表于 2007-4-24 16:16:54

你朋友这样的情况，你还没彻底的杀完毒，系统早已装好几次了。

显示全部楼层 · 发表于 2007-4-24 16:28:19

谢谢楼上的各位兄弟，本人第一次杀毒，没什么经验。
回去按照你们的方法去试试。谢谢各位。

显示全部楼层 · 发表于 2007-4-24 18:38:42

这个重装系统是没有用的，被感染的文件太多了，如果c盘确认没有病毒了，把杀毒软件先下载到C盘，然后安装，再用杀毒软件扫描硬盘，多换几个杀毒软件，估计可以清除的

显示全部楼层 · 发表于 2007-4-25 09:21:45

用System Repair Engineer扫描的日志：

2007-04-24,22:34:33
System Repair Engineer 2.4.12.806
Smallfrogs ([url]http://www.KZTechs.com[/url])
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
<MsServer><; msfun80.exe> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<load><C:\WINDOWS\uninstall\rundl132.exe> []
<AVP><; > [N/A]
<IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher]
<IMJPMIG8.2><; msime82.exe> [N/A]
<IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload> [N/A]
<PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Windows Publisher]
<PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Windows Publisher]
<StormCodec_Helper><; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
==================================
启动文件夹
N/A
==================================
服务
[AVP / AVP][Stopped/Auto Start]
<2 - 系统找不到指定的文件。
><N/A>
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
==================================
驱动程序
[npkcrypt / npkcrypt][Stopped/Auto Start]
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><N/A>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[SiS300i / SiS300i][Running/Manual Start]
<system32\DRIVERS\sis300ip.sys><Silicon Integrated Systems Corporation>
[Service for AC'97 Sample Driver (WDM) / SiS7018][Running/Manual Start]
<system32\drivers\ac97sis.sys><Silicon Integrated Systems Corp.>
[SIS AGP Bus Filter / sisagp][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\sisagp.sys><Silicon Integrated Systems Corporation>
[Winbond Infrared Device Driver / WBFIRDMA][Running/Manual Start]
<system32\DRIVERS\wbfirdma.sys><Winbond Electronics Corp.>
==================================
浏览器加载项
[Web反病毒统计]
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll, N/A>
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <, N/A>
[导出到 Microsoft Office Excel(&X)]
<res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
<, N/A>
[添加到QQ表情]
<, N/A>
[用QQ彩信发送该图片]
<, N/A>
==================================
正在运行的进程
[PID: 468][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 516][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 540][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 584][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 596][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 744][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 812][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 876][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 976][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1056][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1488][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\Audiodev.dll] [Microsoft Corporation, 5.2.3802.3802 built by: dnsrv(bld4act)]
[E:\AVP6\shellex.dll] [Kaspersky Lab, 6.0.0.299]
[E:\AVP6\MSVCP60.dll] [Microsoft Corporation, 6.02.3104.0]
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
[PID: 1624][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[PID: 2024][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2028][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 296][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 192][E:\sreng2cfan\SREngCFan.EXE] [Smallfrogs Studio, 2.4.12.806]
==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1 localhost
==================================
API HOOK
N/A
==================================
隐藏进程
N/A
==================================

复制代码

显示全部楼层 · 发表于 2007-4-25 09:28:31

原帖由 恋恋风尘 于 2007-4-25 09:21 发表
用System Repair Engineer扫描的日志：

2007-04-24,22:34:33

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管 ...

修复下列项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<MsServer><; msfun80.exe> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<load><C:\WINDOWS\uninstall\rundl132.exe> []

显示全部楼层 · 发表于 2007-4-25 09:31:48

这个扫描是我在用江民，瑞星和网络上流传较为广泛的威金专杀工具在安全模式杀毒后，又用KAV6 移动版（最新病毒库）安全模式下杀毒后扫描的结果。
重启后，发现启动项里还是有msfun80.exe，msime82.exe。之前在安全模式下在注册表中搜速删除过相关信息。
启用WINDOS的搜索功能，发现搜索功能不能用，只有蓝色的小狗。可能注册表被损坏了，不知道怎么修改。因而一直找不到这两个文件的藏身之处。

显示全部楼层 · 发表于 2007-4-25 09:36:04

我已经在安全模式下进入注册表将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<; msfun80.exe>  [N/A]删除过，也删除过<; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher]
<; msime82.exe>  [N/A]
但没有删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   []
请问Rundl132.exe是什么文件？

[已解决] 无奈，朋友的电脑中了威金和FUN.XLS.EXE