名侦探柯南事务所

标题: [求助]卡巴都杀不了的毒 [打印本页]

作者: shredder 时间: 2006-8-31 12:06
标题: [求助]卡巴都杀不了的毒
卡巴斯基老检查出这两个，但怎么杀都杀不掉，而且电脑超慢，试了多种方法都不行

已检测到: 广告程序 not-a-virus:AdWare.Win32.Virtumonde.da 运行模块: winlogon.exe\pmnlk.dll
已检测到: 广告程序 not-a-virus:AdWare.Win32.Virtumonde.da 运行模块: explorer.exe\pmnlk.dll

还有一个
计算机重启后删除: 广告程序 not-a-virus:AdWare.Win32.Virtumonde.da 文件: C:\WINDOWS\system32\pmnlk.dll

重启了N次还是没删掉

作者: Darth Dy 时间: 2006-8-31 14:01
标题: 回复: [求助]卡巴都杀不了的毒
开机按F8进入安全模式再杀一次,应该就可以干掉了

作者: shredder 时间: 2006-8-31 14:15
标题: 回复: [求助]卡巴都杀不了的毒
[quote=Darth Dy]开机按F8进入安全模式再杀一次,应该就可以干掉了[/quote]
试过，不行

作者: JayZ 时间: 2006-8-31 20:31
标题: 回复: [求助]卡巴都杀不了的毒
首先明确几点认识：
并非卡巴扫描出来的就是病毒。卡巴的报告已经写明白了not a virus（不是一个病毒）。其次，已经明确这个pmnlk.dll不是系统文件。是属于广告软件。广告软件对于系统并没有实质上的危害。只是加载到内存中，占用内存。有些时候会调用IE指向具体广告内容。但是绝对不会发出对系统有害的指令。

删不掉的原因：
本人对于卡巴并非十分了解。卡巴报告的是winlogon.exe\pmnlk.dll、explorer.exe\pmnlk.dll这样子的含义可以有两种的理解方式。一是pmnlk.dll已经附加到了winlogon.exe和explorer.exe两个应用程序中（就是所谓的绑定，如同某些游戏中绑定病毒一样，点击一个exe，同时执行该exe内容和绑定的内容）。二是pmnlk.dll是通过这两个程序调用。如同病毒常见的命令行：explorer.exe C:\windows\system32\pmnlk.dll

解决的方法：
对于第一种理解情况：使用sfc工具替换掉winlogon.exe和explorer.exe。把硬盘拆下来到其他人的机器上挂从盘替换。并删除C:\WINDOWS\system32\pmnlk.dll
对于第二种情况：清理启动信息中的相关内容。

该广告软件可能含有自动启动恢复程序（如系统服务，其他的自动运行指令）要想彻底删除，必须要将相应恢复项一并删除。

作者: shredder 时间: 2006-8-31 23:27
标题: 回复: [求助]卡巴都杀不了的毒
我是电脑小白。
请问清理启动信息和删除相应恢复项的具体步序是什么？

还有，不知道与这个有没有关。
在安全模式中explorer.exe会莫明其妙地结束。
在普通模式中，explorer.exe占了90+%的cup

作者: JayZ 时间: 2006-8-31 23:40
标题: 回复: [求助]卡巴都杀不了的毒
你c:\windows\explorer.exe的大小是多少K? winlogon.exe大小是多少K?

作者: shredder 时间: 2006-9-1 00:38
标题: 回复: [求助]卡巴都杀不了的毒
explorer.exe 954 KB (976,896 字节)
C:\WINDOWS\system32\winlogon.exe 476 KB (487,424 字节)

作者: allstar 时间: 2006-9-1 07:16
标题: 回复: [求助]卡巴都杀不了的毒
这个是个BHO吧? 算是Internet Explorer (就是Explorer)的恶意插件. 下个hijackthis,把这个记录从注册表里删掉,再重启.

作者: JayZ 时间: 2006-9-1 08:57
标题: 回复: [求助]卡巴都杀不了的毒
基本上可以确定文件没有感染……按照allstar说的用hijackthis删除注册表项目。

作者: shredder 时间: 2006-9-1 15:31
标题: 回复: [求助]卡巴都杀不了的毒
下面是日志，具体应该删哪几个？
还有，5楼的那个explorer.exe的问题是这么回事？
还有，启用卡巴的文件保护时，Winlogon.exe也会占大量cpu。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:36:53, 日期 2006-9-1
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\InterVideo\Common\bin\WinCinemaMgr.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Updates from HP\137903\Program\BackWeb-137903.exe
C:\Program Files\Kingsoft\PowerWord 2006\XDICT.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\FlashGet\flashget.exe
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O2 - BHO: (no name) - {F1FFFBAA-8733-4630-81F2-278D20FB140A} - C:\WINDOWS\system32\pmnlk.dll
O3 - IE工具栏增项: HP 视图 - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - 启动项HKLM\\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - 启动项HKLM\\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - 启动项HKLM\\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - 启动项HKLM\\Run: [AutoTKit] C:\hp\bin\AUTOTKIT.EXE
O4 - 启动项HKLM\\Run: [WinCinemaMgr] "C:\Program Files\InterVideo\Common\bin\WinCinemaMgr.exe"
O4 - 启动项HKLM\\Run: [Home Theater SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\CoralQQ.exe
O4 - Startup: 金山词霸 2006.lnk = C:\Program Files\Kingsoft\PowerWord 2006\XDICT.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Updates from HP.lnk = C:\Program Files\Updates from HP\137903\Program\BackWeb-137903.exe
O8 - IE右键菜单中的新增项目: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\Msjava.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\Msjava.dll
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156942315109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156942850875
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B2A8AA0-0D7C-4B90-BB25-1BD58485F86F}: NameServer = 202.96.209.6 202.96.209.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B2A8AA0-0D7C-4B90-BB25-1BD58485F86F}: NameServer = 202.96.209.6 202.96.209.133
O18 - 列举现有的协议: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: pmnlk - C:\WINDOWS\system32\pmnlk.dll
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

作者: shredder 时间: 2006-9-2 11:14
标题: 回复: [求助]卡巴都杀不了的毒
谢谢，已经删了

请锁

欢迎光临名侦探柯南事务所 (https://bbs.aptx.cn/)