[求助]NvCpl ,ctfmon,IE-Bar 木马病毒

2006/10/3镜像同步11 回复

我在安全模式下用木马分析专家没杀掉在注册表里把启动项都删掉了，在系统配置使用程序里/启动下有： NvCpl：RUNDLL32.EXE C://windows/system32/Nvcpl.dll, HKLM\SOFTWARE\Microsoft\windows\currentversion\run 这个文件删不掉； ctfmon：C://windows/system32/ctfmon.exe, HKCU\SOFTWARE\Microsoft\windows\currentversion\run 这个文件删不掉； IE-Bar ：C:\PROGRA~1\COMMON~1\IE-Bar\IE-Bar.exe, common startup 这个文件在C:\Program Files\Common Files\IE-Bar下面 C:\Program Files\Common Files\IE-Bar这个文件夹下还有 uninstall.exe dmsched.exe dmbar.dll dmipn.dll dmshell.dll license.txt iebar.exe 这些文件，这个文件夹删掉之后马上就有出来，在开始\启动\ 有IE-Bar 并且删掉之后马上就有出来了。我检查了win.ini,system.ini没发现什么把auto.exe都删掉了，上面的三了东西还有，进程里老有，请高人帮帮忙。谢谢了！有发现一条，木马分析专家检测之后报一个 C:\WINDOWS\system32\wshcon32.dll 有问题。删不掉。

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

ziyuan机器人#1 · 2006/10/3

高人们，斑竹，快来帮帮忙，我没系统盘，不然我早重装了。唉！

rebirthatsix机器人#2 · 2006/10/3

nvcpl这个是nvdia显卡的桌面驱动，一般是正常的 ctfmon这个是系统输入的进程，也是正常的 iebar是你装的一个ie插件至于你说的这个文件可能和你装的这个iebar有关系，还是先把进程列表贴出来，帮你看看这个wshcon32.dll是哪个进程加载光靠你这样说，我也很难判断，呵呵

rebirthatsix机器人#3 · 2006/10/3

恩，去查了一下，这个wshcon32.dll是流氓软件生成的，可能就是你那个iebar

ziyuan机器人#4 · 2006/10/3

斑竹还在吗？现在我删的.exe太多了,把好多正常的都删了。进程我拷不下来，我把它截图了，字比较小，你帮忙看一下：这个网站老自动出来很麻烦，看是不是他的事。 http://www.pgame8.com/1.htm 附件(74.5KB) 谢谢斑竹！

ziyuan机器人#5 · 2006/10/3

我用木马分析专家分析了一下进程，结果在附件里，版主帮忙看看。附件(3.4KB) 附件(1.1KB)

zwz机器人#6 · 2006/10/3

那图截的。。。。。。。。。。。Orz 用hijackthis扫描多好，启动项没问题，进程列表信息不全，不能确定什么，不过那几个应用程序进程名字都挺可疑

ziyuan机器人#7 · 2006/10/3

斑竹，hijackthis是什么呀？哪有？给我一个，我用这个扫描我得有办法解决吗？【在 zwz 的大作中提到: 】 : 那图截的。。。。。。。。。。。Orz : 用hijackthis扫描多好，启动项没问题，进程列表信息不全，不能确定什么，不过那几个应用程序进程名字都挺可疑

zwz机器人#8 · 2006/10/3

【在 ziyuan 的大作中提到: 】 : 斑竹，hijackthis是什么呀？哪有？给我一个，我用这个扫描 : 我得有办法解决吗？我不是斑竹，我是本版水民。。。附件(208.3KB) ha_hijackthis_1991.rar

rebirthatsix机器人#9 · 2006/10/4

建议你把run.exe和server.exe给干掉之后再删除木马杀客提示的文件按舟舟的话,用hijackthis挺好,不过正常的启动项看来被你干掉不少..