瑞星卡卡安全论坛

引用:

【魔法学徒的贴子】东西不少…… ...........................

晕死了，不能连线操作

引用:

【魔法学徒的贴子】东西不少…… ...........................

晕，连不上

哎~郁闷啊

你先下载RISINGQQ专杀查杀一次

引用:

【艾玛的贴子】你先下载RISINGQQ专杀查杀一次 ...........................

好的

补充:28楼图里007项 Bannershop GIF Animation 被加右键→新建里了,新建里多了这个

引用:

【又被黑了的贴子】补充:28楼图里007项 Bannershop GIF Animation 被加右键→新建里了,新建里多了这个 ...........................

楼主应该安装过相关的绘图软件吧。请问现在进行到哪里了？

引用:

【天使之剑的贴子】 引用: 【又被黑了的贴子】补充:28楼图里007项 Bannershop GIF Animation 被加右键→新建里了,新建里多了这个 ........................... 楼主应该安装过相关的绘图软件吧。请问现在进行到哪里了？ ...........................

绘图软件没装过~Bannershop GIF Animation 是最近几天才有的
现在结束有问题的svchost和IE后还是找不到uqzbersh的相关文件~
已然晕了~现在听歌都有顿挫感,不行就格盘了

有进展了
一开机就直接结束有问题的svchost和IE...
就能找到这几个了（改名压缩后拿到了)……但在下次开机如果不结束上面的进程图里的文件也是会被隐藏

附件: 4565132006110184519.JPG

引用:

【又被黑了的贴子】 引用: 【天使之剑的贴子】 引用: 【又被黑了的贴子】补充:28楼图里007项 Bannershop GIF Animation 被加右键→新建里了,新建里多了这个 ........................... 楼主应该安装过相关的绘图软件吧。请问现在进行到哪里了？ ........................... 绘图软件没装过~Bannershop GIF Animation 是最近几天才有的 现在结束有问题的svchost和IE后还是找不到uqzbersh的相关文件~ 已然晕了~现在听歌都有顿挫感,不行就格盘了 ...........................

请下载并使用F-Secure BlackLight：
【推荐】一个Rootkit清除工具

http://forum.ikaka.com/topic.asp?board=28&artid=7365642
上面给出的这个帖子中有下载链接和使用方法。
先尝试下，不行的话请把RootkitRevealer的报告贴上来。

引用:

【又被黑了的贴子】有进展了 一开机就直接结束有问题的svchost和IE... 就能找到这几个了（改名压缩后拿到了)……但在下次开机如果不结束上面的进程图里的文件也是会被隐藏 ...........................

在删除它们之前请上报瑞星，接下来还需要清理注册表，这项工作需要RootkitRevealer。

上报完等回复了
BlackLight查没问题
RootkitRevealer慢的要死

RootkitReveal日志好大,挑重点放
刚才点save就直接重起了~晕

C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.DL1    2006-1-9 14:00    100.00 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.LOG    2006-1-10 21:13    30.06 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\1IR712TI\list[6].htm    2006-1-10 21:44    42.61 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\4PIFOHEJ\list[3].htm    2006-1-10 17:59    42.02 KB    Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[1].htm    2006-1-10 21:43    6.52 KB    Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[2].htm    2006-1-10 21:44    6.52 KB    Hidden from Windows API.
C:\Documents and Settings\**\My Documents\My Pictures\UQZBERSH.JPG    2006-1-10 18:18    45.83 KB    Hidden from Windows API.
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk    2006-1-10 18:20    600 bytes    Hidden from Windows API.
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk    2006-1-10 18:17    275 bytes    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS    2006-1-9 13:26    11.50 KB    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L    2006-1-9 13:26    38.18 KB    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL    2006-1-9 13:26    24.00 KB    Hidden from Windows API.

引用:

【又被黑了的贴子】RootkitReveal日志好大,挑重点放 刚才点save就直接重起了~晕 C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.DL1    2006-1-9 14:00    100.00 KB    Hidden from Windows API. C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.LOG    2006-1-10 21:13    30.06 KB    Hidden from Windows API. C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\1IR712TI\list[6].htm    2006-1-10 21:44    42.61 KB    Hidden from Windows API. C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\4PIFOHEJ\list[3].htm    2006-1-10 17:59    42.02 KB    Visible in Windows API, but not in MFT or directory index. C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[1].htm    2006-1-10 21:43    6.52 KB    Visible in Windows API, but not in MFT or directory index. C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[2].htm    2006-1-10 21:44    6.52 KB    Hidden from Windows API. C:\Documents and Settings\**\My Documents\My Pictures\UQZBERSH.JPG    2006-1-10 18:18    45.83 KB    Hidden from Windows API. C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk    2006-1-10 18:20    600 bytes    Hidden from Windows API. C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk    2006-1-10 18:17    275 bytes    Hidden from Windows API. C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS    2006-1-9 13:26    11.50 KB    Hidden from Windows API. C:\WINDOWS\SYSTEM32\UQZBERSH.D1L    2006-1-9 13:26    38.18 KB    Hidden from Windows API. C:\WINDOWS\SYSTEM32\UQZBERSH.DLL    2006-1-9 13:26    24.00 KB    Hidden from Windows API. ...........................

我给出的建议可能比较冗长，请楼主务必保持耐心……
请按照以下的步骤操作：
1、清空IE临时文件夹；
2、请楼主以图片的形式把RootkitRevealer的报告贴全，因为键位对下面的清除工作很重要；
3、使用IceSword删除以下文件：
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.DL1
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.LOG；
4、打开注册表编辑器，以UQZBERSH.DLL为关键词搜索（去掉“全字匹配”前的对勾），报出其在注册表中所在的位置；
5、重新启动计算机，可能会发现病毒进程依然存在，这个问题需要清理相关注册表项才能彻底解决（第2步和第4步）。
麻烦楼主了。

附件标出了它可能在的位置以供参考。

附件: 5822402006110230405.JPG

请下载并使用CleanUp!：
【整理】系统清理工具图文介绍

http://forum.ikaka.com/topic.asp?board=67&artid=7241088
该帖中有下载页面地址和使用方法。

虽然盗链不道德，但是偶尔为之应该不要紧吧……
CleanUp!下载链接：

http://www.stevengould.org/downloads/cleanup/CleanUp40.zip
请参考教程使用。

天使之剑，弄到那么晚？昨日有饭局未能捧场啊:-)

...........................
我给出的建议可能比较冗长，请楼主务必保持耐心……
请按照以下的步骤操作：
1、清空IE临时文件夹；
2、请楼主以图片的形式把RootkitRevealer的报告贴全，因为键位对下面的清除工作很重要；
3、使用IceSword删除以下文件：
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.DL1
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.LOG；
4、打开注册表编辑器，以UQZBERSH.DLL为关键词搜索（去掉“全字匹配”前的对勾），报出其在注册表中所在的位置；
5、重新启动计算机，可能会发现病毒进程依然存在，这个问题需要清理相关注册表项才能彻底解决（第2步和第4步）。
麻烦楼主了。
...........................
谢谢朋友指点~我会耐心的
1.RootkitRevealer扫日志cleaning up是完成了？~还用从新扫吗
2.第三项里的文件用IS能找到

引用:

【天使之剑的贴子】附件标出了它可能在的位置以供参考。 ...........................

附件: 456513200611191239.JPG

还有
应该和fucksnow是一伙的

附件: 456513200611191434.JPG

还有...

附件: 456513200611191454.JPG

RootkitRevealer
1

附件: 456513200611192311.JPG

2

附件: 456513200611192324.JPG

3

附件: 456513200611192347.JPG

4

附件: 456513200611192418.JPG

5

附件: 456513200611192434.JPG

6完
线上面的5里有~

附件: 456513200611192558.JPG

引用:

【天使之剑的贴子】虽然盗链不道德，但是偶尔为之应该不要紧吧…… CleanUp!下载链接： 请参考教程使用。 ...........................

谢谢给出地址~清了不少东西

附件: 456513200611194024.JPG

下载器+恶意AD软件