您的位置: 首页  >> 木马查杀 >> 阅读资讯：TxoMoU.Exe,SSLDyn.exE,MsPrint32D.exe,MsIMMs32.exE木马群的清除

TxoMoU.Exe,SSLDyn.exE,MsPrint32D.exe,MsIMMs32.exE木马群的清除

[ 作者：崔衍渠 | 更新日期:2008-1-4 16:39:45 | 阅读次数： ]

问题描述：

打开IE浏览器的时候一闪而过,主页的地址也被改成了一个娱乐的网站,后来用ghost恢复,再用windows清理助手的时候发现DEF盘都有sos.exe这个病毒,于是用PowerRmv删除,又用SREng修复看看,结果PowerRmv打不开了,再次打开IE,仍然是一闪而过,于是又用ghost恢复,发现DEF里仍然有sos.exe，然后发现只要该机子连网，同局域网里的机子打开网页时都会报毒，我用的McAfee，后来只好把该机子断网。某天另一台机子在打开IE的时候，连接的地址变成了www.support.,其中***指的是mcafee,但有其他机子指的是其他的名字，因为这台机子装了Returnil Virtual System的多分区版，保护的是C盘，以为重新启动就OK的，但发现没有任何效果，只是今天早上的时候开机一切又正常了。

以上就是我描述的情况，可能很长，但请崔老师有时间的时候能帮忙看一下，如何解决，是什么原因造成的呢？谢谢了！

下面是我用SREng扫描的日志地址：
***.comhttp://hi.baidu.com/%D3%A3%D1%A9%CE%E8

问题补充：对了,还有系统的时间也被改成了2000年,就是用ghost恢复后,什么也没动,发现的。

【对于本问题的解决方法】

具体问题具体分析。如下为本问题的解决方案请仔细阅读，看懂后操作。
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除如下的文件，建议采用xdelbox 工具。
如果提示某文件不存在，请忽略之继续填入下一个直到完成。
C:\WINDOWS\system32\TxoMoU.Exe
C:\WINDOWS\SSLDyn.exE
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\338448M.exe
C:\WINDOWS\MsIMMs32.exE
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\338448L.exe
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\LotusHlp.exe
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system32\pykiuuctpu.dll
C:\WINDOWS\system32\kvdxkma.dll
C:\WINDOWS\system32\kvdxslma.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\kaqhlzy.dll
C:\WINDOWS\system32\avzxlmn.dll
C:\WINDOWS\system32\gjfhayc.dll
C:\WINDOWS\system32\jsqxayc.dll

3、重启后用工具SREng 操作如下
==================================
启动项目 -->注册表的如下项删除[HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion\Run]
    <crsss><C:\WINDOWS\system32\TxoMoU.Exe> []
    <SSLDyn><C:\WINDOWS\SSLDyn.exE> []
    <upxdnd><C:\WINDOWS\upxdnd.exe> []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe> []
    <WinSysM><C:\WINDOWS\338448M.exe> [N/A]
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
    <MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE> []
    <KVP><C:\WINDOWS\system32\drivers\svchost.exe> []
    <WinSysW><C:\WINDOWS\338448L.exe> [N/A]
    <Kvsc3><C:\WINDOWS\Kvsc3.exE> []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9963387B-212E-4643-B207-82DAEA0E713D}>

<C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []
<{521DAF25-0CF6-4605-A66D-010E84546FED}>

<C:\WINDOWS\system32\pykiuuctpu.dll> [Microsoft Corporation]
<{BC87A354-ABC3-DEDE-FF33-3213FD7447CB}>

<C:\WINDOWS\system32\kvdxkma.dll> []
    <{CD561258-45F3-A451-F908-A258458226DC}><C:\WINDOWS\system32\kvdxslma.dll> []
    <{8A1247C1-53DA-FF43-ABD3-345F323A48D8}><C:\WINDOWS\system32\avwghmn.dll> []
    <{C7D81718-1314-5200-2597-58790101807C}><C:\WINDOWS\system32\kaqhlzy.dll> []
    <{C859245F-345D-BC13-AC4F-145D47DA34FC}><C:\WINDOWS\system32\avzxlmn.dll> []
    <{1D908534-AD45-920F-AC89-4024FA9D26D1}><C:\WINDOWS\system32\gjfhayc.dll> []
    <{1D098345-9012-8750-8910-9128098134D1}><C:\WINDOWS\system32\jsqxayc.dll> []

修改系统时间为正常的。

4 最后用windows清理助手或者金山清理专家等工具清理。

ps: 工具下载以及SRENG用法等的具体方法请参考，看懂再操作。

http://www.newjian.net/Anti-virus/anti_virus_2045.html

www.newjian.com