1226 mssvc32.dll g0ld.com.exe

1226 mssvc32.dll g0ld.com.exe

病毒文件 g0ld.com.exe mssvc32.dll

服务里面多了
[Transaction Provisioning Service / TransactionService]
O23 – Service: Transaction Provisioning Service (TransactionService) – Unknown owner
<C:\\WINDOWS\\system32\\g0ld.com.exe><
O23 – 未知 – TransactionService – C:\\WINDOWS\\system32\\g0ld.com.exe
资料
用SRENG删除以下项目

启动项目
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
<&leftsign;1A404685-7563-4d02-B0F6-58B308A406A9&rightsign;><c:\\program files\\internet explorer\\uwyolmfq.dll> [N/A]
==================================
服务
[AutoUpgrade / AutoUpgrade]
<C:\\WINDOWS\\System32\\svchost.exe -k AutoUpgrade–>C:\\WINDOWS\\system32\\qosname32.dll><N/A>
<C:\\WINDOWS\\System32\\Internet.exe><N/A>
[[远程管理计算机的协议 / Remonte rpc]
<C:\\WINDOWS\\system32\\1.exe><N/A>
[Remote Procedure Call System(RPCS) / RpcS]
<C:\\WINDOWS\\system32\\RpcS.exe><N/A>
[Transaction Provisioning Service / TransactionService]
<C:\\WINDOWS\\system32\\5.exe><N/A>

重启后删除以上项目的相关文件以及下面两个文件,删除不了的用KILLBOX
C:\\WINDOWS\\System32\\Internet.dll
C:\\WINDOWS\\System32\\InternetKey.DLL

不小心点了个垃圾邮件，然后金山毒霸就挂了，吭都没吭一声，真他妈的的差劲。系统进程只发现有"iexplore"比较可疑，另外就是//windows/system32中有iexplore.exe.删掉这个可疑文件后，但注册表中找不到相应的键值。不知道是什么病毒的新变异，反正俺是搞不定了。
我也中了这个病毒，在windows\\system32里面有mssvc32.dll有病毒。诺顿查出来了，只是能查不能杀。病毒每次开机时自动运行iexplore，体现在进程里多一个system的iexplore.exe.

现在每次开机时诺顿都报毒。只能手工把进程里的iexplore杀掉。
开机连接网络，打开IE浏览器就自动连接网址[url]www.54evil.com[/url]下载一个MS-DOS应用程序g0ld.com.exe,并且自动运行它，然后在c:\\windows里生成一个lsa.exe,卡巴斯基报告说g0ld.com.exe是Trojan-Downloader.Win32.VB.ahv
关闭IE后再打开就不会再自动下载这个木马了，但是下次开机后又会出现这种情况。一次开机IE只自动下载一次这个木马，用ewido杀毒只查出两个ADWare，卡巴斯基也查不出。
g0ld.com.exe这个木马是自动下载到临时文件夹里的，手动清除 g0ld.com.exe 和 lsa.ex后下次开机打开IE后仍然还会自动下载这个g0ld.com.exe，如果开机后打开Firefox浏览器就不会自动下载这个木马，好像只对IE内核的浏览器会发生自动下载木马的情况。
好几天了我自己实在是搞不定了，急死了啊，请大家帮帮我，谢谢。
一打开IE浏览器就自动连接www.54evil.com下载一个MS-DOS应用程序g0ld.com.exe并且自动运行，然后在C：\\WINDOWS里生成一个lsa.exe。那个g0ld.com.exe卡巴斯基报告是Trojan-
Downloader.Win32.VB.ahv，删掉g0ld.com.exe和lsa.exe后下次开机启动IE浏览器后又会自动下载，都好几天了，实在没办法了，请高人们教我杀掉这个病毒啊！急死了啊我！！！
瑞星防火墙系统状态里显示有个木马，请看一下上传的图片。
开机连接网络打开IE浏览器就自动连接http://www.54evil.com/inc/mm.exe 这个网址,自动下载并运行mm.exe,然后进程中出现g0ld.com.exe,防火墙提示g0ld.com.exe要连接网络上一个地址，拒绝后发现在C:\\WINDOWS里生成一个lsa.exe。
mm.exe杀毒软件报告为 Trojan-Downloader.Win32.VB.ahv
关闭IE浏览器后再打开就不会再自动下载这个mm.exe，但是下次开机后这种情况又会出现，也就是说每次开机IE只下载一次这个mm.exe，如果开机后打开Firefox浏览器就不会自动下载那个mm.exe了，这个木马病毒好像只对IE内核的浏览器起作用。
手动删掉g0ld.exe和lsa.exe后下次开机打开IE还会自动下载那个
mm.exe,这种情况出现好几天了。
我想知道造成这种情况是不是我的电脑中了某种木马，如果是，那这种木马叫什么名字，它在系统内都产生了哪些病毒文件，我应该怎么样杀掉这种木马病毒，请专家们帮帮我，谢谢你们。
g0ld.exe 这个病毒到底怎么杀？？？

最近我上网，在桌面就自动生成一个g0ld.exe的文件，而且在刚开机的时候还不听的弹出好几个DOS的运行的黑框，具体运行什么还来不及看清楚就消失了。

  并且，还没办法打开杀毒软件，像绿鹰PC万能精灵和木马克星都不能打开。

  在WINDOWS安全模式下，也会出现这相同的情况，请高手赐教！！

  晚上在网页浏览的结束的时候，正准备关机，突然发现桌面多了一个图标，就象是一个应用程序的图标，名称是“g0ld”，是一个MS-DOS应用程序，我双击了两下，没有反映，在任务管理器的进程里可以看到，是一个“g0ld.com”的进程，:Q但大概30秒钟就又没有了，我想不通这到底是什么东西，是 病毒吗，还是木马，是刚才上网时带入的，还是电脑里的系统程序，因为我上网的时候也曾有打开过“我的电脑”，我怕也许是不小心把系统程序移到了桌面上，现在删也不敢删，有哪位朋友知道这到底是什么东西吗？

  呵呵，楼主中了下载者病毒，它会在连接到网线的时候自动下载病毒和广告软件，请断网进行全面杀毒，它下载的广告软件可以去天空软件站下载超级兔子解决！超级兔子带卸载王，可以搞定广告软件和恶意绑定主页，以上操作要在断网的前提下进行！！！如果无效，请开机按F8进入安全模式–全面杀毒！断网杀毒！如果连者网线你杀光就会自动下载，直到把你内存消耗光，自动关机，重启后连网又自动关机，直到机器报废为止（下载者病毒擅长以上做法！！）

  g0ld病毒
g0ld.exe,进程为g0 ld.com,?第二个字符为“数字0”，键盘记录程序，可以窃取本地用户密码。
一般不会被反病毒软件查杀。
建议先打开开始，运行msconfig看是否有可疑启动项，有则取掉
使用process explorer查进程，看是否有可疑或文件名的进程，有
则记下路径结束进程后删除文件。
[重要]今天上COOLSEE有异常状况怀疑中毒了的 进来看这帖 （有危险）

COOLSEE已经被种了木马 专盗QQ号和游戏账号 请大家互相转告 今天上过COOLSEE立即升级杀毒软件杀毒 非危言耸听

感染状况如下
系统运行WINRAR 自动运行解压 jh.exe 产生1.exe

搜索看系统里有没有jh.exe 和1.exe 以及g0ld.com

记得打开搜索项里的高级 – 搜索系统隐藏文件

如果要阅览CS 请使用无图模式 查阅

http://www.coolsee.com/bbs/simple/index.php?t115095.html

现象之一是桌面产生了一个1.exe文件

现象2就是不停弹出g0ld.com 不是有效的win32文件

一般系统杀毒软件效果强 防火墙够猛 即时监控到位的杀毒软件 都可能保证你未受感染

其他用瑞星之类次品杀毒软件 又未升级病毒毒 没有开即时的同志们 甚至还有裸奔（啥也没装）的同志们 估计已经中招了

　　
　　具体体现是卡巴疯狂报警, C:\\documents and settings\\***\\local settings\\temp目录下有几个1.exe 2.exe…等文件,被卡巴删了.
　　但有几个 mz.exe/jh.exe/realplayer.exe仍然在系统里运行并试图实现自加载.并且cpu占用率持高不下,系统狂慢.
　　
　　我用超然查看了它们的路径,mz.exe/jh.exe都在temp目录下,还在windows目录下直接建了一个temp目录(windows目录下一般是不存在这个temp目录的).这个好办,直接用超然的批量关闭,然后删除目录,再用autoruns把这几个启动项前面的勾给取消了(autoruns会显示启动项目的所在具体位置和文件,或一些csid控件)
　　
　　但遇到了一点小麻烦,就是那个realplayer.exe,删了重启又有.
　　我只好耐心一个一个查看下去.发现有几个可疑的启动项目,正好在天涯看到一个网友遇到同样的问题,我就把我的确定成功的解决方法写给了他,在这里就偷点懒,直接复制如下:
　　
　　————————–
　　　　这是我在网上找的资料，再帮你细化一下
　　　　
　　　　全手动杀毒…..不过IE目录下的几个sys文件要用卡巴扫描来删，或者用纯DOS启动去删
　　　　
　　　　病毒文件：
　　　　Rinld.sys（C:\\WINDOWS\\system32\\drivers）
　　　　Ravdm.exe（C:\\WINDOWS\\system32）属性隐藏
　　　　TIMPlatform.exe（QQ安装目录，木马把原来的改名为TIMPlatfrom.exe并隐藏，可以去掉隐藏属性弄出来再改回原名）
　　　　system.sys（C:\\Program Files\\Internet Explorer\\PLUGINS）
　　　　system.jmp（C:\\Program Files\\Internet Explorer\\PLUGINS）
　　　　system.bak（C:\\Program Files\\Internet Explorer\\PLUGINS）
　　　　
　　　　解决办法：
　　　　1.开机按F8进入安全模式，进入cmd命令行
　　　　2.删除病毒文件：
　　　　（删除方式为 attrib -h -s -a -r 去掉所有傻逼属性再del文件）
　　　　C:\\program files\\microsoft\\svhost32.exe，记住所有文件都必须先attrib掉
　　　　C:\\WINDOWS\\system32\\realplayer.exe(这个是可能出现的，因为是另一个病毒，如果有，那你也要删掉相关的注册表启动项)
　　　　C:\\WINDOWS\\system32\\drivers\\Rinld.sys
　　　　C:\\WINDOWS\\system32\\Ravdm.exe
　　　　c:\\windows\\system32\\mswdm.exe
　　　　C:\\Program Files\\Tencent\\QQ\\TIMPlatform.exe（删了这个后记得把被隐藏的的TIMPlatfrom显示并改名为TIMPlatform.exe）
　　　　C:\\Program Files\\Internet Explorer\\PLUGINS\\system.sys（这个用卡巴全盘扫描来删好了）
　　　　C:\\Program Files\\Internet Explorer\\PLUGINS\\system.jmp
　　　　C:\\Program Files\\Internet Explorer\\PLUGINS\\system.bak
　　　　
　　　　3.把QQ安装目录的TIMPlatfrom.exe改回原名TIMPlatform.exe（从生成时间可以判断那个是病毒）
　　　　
　　　　4. 删除病毒建立的自启动项：
　　　　[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
　　　　system.sys="c:\\program files\\internet explorer\\plugins\\system.sys"
　　　　（把system.sys键值删除）
　　　　
　　　　[HKEY_CLASSES_ROOT\\CLSID\\&leftsign;C9953583-932E-4EA1-A04B-4523AAB72C30&rightsign;\\InProcServer32]
　　　　@="C:\\Program Files\\Internet Explorer\\PLUGINS\\system.sys"
　　　　（把&leftsign;C9953583-932E-4EA1-A04B-4523AAB72C30&rightsign;整个删除）
　　　　
　　　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer]
　　　　Run/KernelFaultCheckC:\\WINDOWS\\system32\\Ravdm.exe
　　　　（把Run键值删除，因为有些不是这个内容，而是一个控件CSID）
　　　　
　　　　5. 清空一下文件夹，最好是删掉….反正它会重建：
　　　　C:\\Documents and Settings\\（用户名）\\Local Settings\\Temp
　　　　C:\\windows\\ temp
　　　　
　　　　注：上面病毒文件属性是隐藏的，所在要打开查开系统文件和隐藏文件
　　　　另外，你最好下一个autoruns软件把可疑的启动项目显示出来，再双击每个项目到注册表里去删，因为autoruns本身可能删不掉。
　　　　如果还有问题，请给我发消息或在此贴里留言，我会再来看的
　　———————–
　　
　　补充一点,删除启动项一般都可以用autoruns
　　我这里可能遗漏了一些东西,毕竟没当场记录的
　　
　　
　　再来说IE浏览器打开网站时弹出广告的问题.而在进程管理器看不到可疑进程.
　　这种现象可以说是太普遍了,打开百度等大网站都会弹出一个莫名其妙的广告窗口.其实大部分都可以在autoruns里的IE浏览器选项卡里找到一些自启动的dll文件.
　　我今天就碰到了 c:\\windows\\system32\\inetsrv\\csrss.exe和system32\\COMboHEvent.dll这个狗日的病毒.
　　在网上,很多人都说csrss.exe或smss.exe\\winlogon.exe\\svchost.exe等几个是系统进程,不能终止,其实这几个文件如果在 system32目录下就是正常的,但如果在其他目录比如我刚才说的 inetsrv\\csrss.exe,一看就知道是伪装病毒,因为在系统自带的管理器里只能查看进程名不能看到进程的目录.
　　所以我才推荐大家用超然.
　　
　　在超然里将inetsrv\\csrss.exe强制结束系统进程后,再到system32目录将inetsrv目录直接删掉.可是过了一会儿,发现这个进程又起来了,目录也又建立了.
　　而系统进程里,没有发现明显的可疑进程在保护它.
　　我进到安全模式里,再删一遍,启动后又有了…..这时,我猜它可能是利用了某个系统进程挂载实现自身的加载.在网上查资料时,有人说到了explorer.exe挂载了它.(以下谈到的csrss都是指的inetsrv\\csrss.exe这个病毒,而不是正常的系统进程)
　　于是,我在系统自带的任务管理器将explorer.exe关掉(超然关它会再启动),再在超然里把csrss.exe关掉.这时桌面没了,不用管他.我们只需要之前运行好超然\\命令行和autoruns就行,关掉桌面后还可以用alt+tab键切换的.
　　删掉inetsrv\\csrss.exe,再用autoruns把IE选项里的java 2勾去掉,重起,发现它还是存在.
　　
　　我这才想到了netstat命令.
　　刚开机,马上执行netstat -a -n -o,发现有一个进程开机便连接某外网IP的80端口,用cap捕捉到它下载了数据.再根据这个进程的pid到超然里一查,我晕,居然是svchost.exe,难怪我平时系统进程里的svchost.exe只有5个,这几天却有6个……
　　但是大家要注意,这个svchost.exe的确是system32目录下的正常进程,它用来调用系统的一些服务,所以会有多个在运行,这也给了某些病毒的可用之机.
　　我到控制面板-管理工具-服务 里,发现有个服务名字是fsadsafsd这样奇怪的(具体名字不记得了)东西是用的svchost.exe,而服务也没有相关介绍,我将它禁用并停止,在用上面的办法将combohevent.dll inetsrv\\csrss.exe删掉,在autoruns里把java 2再勾去删掉.
　　启动……ok了,世界清净了

[ 此贴被TECHNOMAGE在2006-09-09 20:39重新编辑 ]

历史博文

• 20081001 c# pipe - 2009
• 20070829 uclinux reloc outside program - 2008
• 0218 yahoo spider kill Slurp - 2006
• BMP文件格式分析 - 2005