瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【求助】这是什么病毒?exe文件一运行,桌面屏幕一闪下就没了
寒灯一笑 - 2007-9-7 12:44:00
【求助】这是什么病毒?exe文件一运行,桌面屏幕一闪下就没了。杀软装上就被破坏。
不是熊猫。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; Maxthon; .NET CLR 1.1.4322)
shjarthur - 2007-9-7 13:29:00
这个应该是类似AV终结者的“映象劫持”
看看置顶的AV帖中有相关的“映象劫持”处理方法
日不懂啊 - 2007-9-7 14:19:00
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
大百科 - 2007-9-7 15:56:00
运行SREng.exe(如果不能运行,改名为111.exe、111.bat、111.scr、111.com或111.pif)
yemasoft - 2007-9-7 16:00:00
跟我一样啊,应该是病毒:Backdoor.Win32.DarkMoon.ai
xqb761 - 2007-9-7 16:06:00
引用:
【yemasoft的贴子】跟我一样啊,应该是病毒:Backdoor.Win32.DarkMoon.ai

………………


有病毒源文件吗?
楼主,扫个日志上来~~
寒灯一笑 - 2007-9-7 16:09:00
日志在附件中。欢迎大家帮忙查看下

附件: 837587200797155829.txt
寒灯一笑 - 2007-9-7 16:10:00
为了杀这个毒,杀软挂了好几个了。
大百科 - 2007-9-7 16:33:00
注意:删除病毒可能会具有一定的危险性 所以强烈建议操作前要把重要资料转移至非系统分区!
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsqmapm.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>  []
    <{1231A43A-1642-641A-64FD-146ADAB223B1}><C:\WINDOWS\system32\mxaman.dll>  [N/A]
    <{5182C1EB-375C-573D-1F5E-234552345215}><C:\WINDOWS\system32\wlhpri.dll>  [N/A]
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  [N/A]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>  []
    <{0CEC10DA-61C5-4254-AF59-0B3151B12BD0}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\4hj.dll>  [N/A]
    <{13B917C5-1BAB-1F85-237A-273D2B3E2F27}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]
    <{1F364345-3094-1202-2581-45981903A4F1}><C:\WINDOWS\system32\rsqmapm.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <DirectX><C:\WINDOWS\system32\d3d8xof.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <avpqqsg><; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
    <MsIMMs32><; C:\WINDOWS\MsIMMs32.exe>  [N/A]
    <ravwdmon><; C:\Program Files\NetMeeting\ravwdmon.exe>  [N/A]
    <ravztmon><; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]

用SRENG扫描工具删除以下驱动程序
<system32\DRIVERS\ipinip.sys><N/A>

重启计算机进入安全模式下删除
[C:\WINDOWS\system32\rsqmapm.dll]  [N/A, ]
[C:\WINDOWS\system32\mscomm.dll]  [N/A, ]
<C:\WINDOWS\system32\rsmyapm.dll>  []
<C:\WINDOWS\system32\mxaman.dll>  [N/A]
<C:\WINDOWS\system32\wlhpri.dll>  [N/A]
<C:\WINDOWS\system32\rsjzapm.dll>  [N/A]
<C:\WINDOWS\system32\avzxamn.dll>  []
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]
<C:\WINDOWS\system32\d3d8xof.dll>  [N/A]
<; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
<; C:\WINDOWS\MsIMMs32.exe>  [N/A]
<; C:\Program Files\NetMeeting\ravwdmon.exe>  [N/A]
<; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]
<system32\DRIVERS\ipinip.sys><N/A>
日不懂啊 - 2007-9-7 16:45:00
找出:
C:\WINDOWS\system32\rsmyapm.dll
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\wlhpri.dll
C:\WINDOWS\system32\rsjzapm.dll
C:\WINDOWS\system32\avzxamn.dll
C:\WINDOWS\system32\rsqmapm.dll
依次改名为1.dll  2.dll ...
删除注册表内:
<{0CEC10DA-61C5-4254-AF59-0B3151B12BD0}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\4hj.dll>  [N/A]
    <{13B917C5-1BAB-1F85-237A-273D2B3E2F27}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]

<{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><>  [N/A]
    <{1A321487-4977-D98A-C8D5-6488257545A1}><>  [N/A]
      <{1960356A-458E-DE24-BD50-268F589A56A1}><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <DirectX><C:\WINDOWS\system32\d3d8xof.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <avpqqsg><; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
<MsIMMs32><; C:\WINDOWS\MsIMMs32.exe>  [N/A]
<ravwdmon><; C:\Program Files\NetMeeting\ravwdmon.exe>  [N/A]
    <ravztmon><; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]
    <UserFaultCheck><; %systemroot%\system32\dumprep 0 -u>  [N/A]

删除驱动:
[ATSpy / ATSpy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\ATSpy.sys><N/A>
[IP in IP Tunnel Driver / IpInIp][Stopped/Manual Start]
  <system32\DRIVERS\ipinip.sys><N/A>


重器 ,删除:
该过名字的
C:\WINDOWS\system32\rsmyapm.dll
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\wlhpri.dll
C:\WINDOWS\system32\rsjzapm.dll
C:\WINDOWS\system32\avzxamn.dll
C:\WINDOWS\system32\rsqmapm.dll
清空:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
删除文件:
C:\WINDOWS\system32\mscomm.dll
C:\WINDOWS\system32\d3d8xof.dll
C:\Program Files\NetMeeting\avpqqsg.exe
C:\WINDOWS\MsIMMs32.exe
C:\Program Files\NetMeeting\ravwdmon.exe
C:\Program Files\NetMeeting\ravztmon.exe
C:\WINDOWS\system32\ATSpy.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys

删除注册表启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>  []
    <{1231A43A-1642-641A-64FD-146ADAB223B1}><C:\WINDOWS\system32\mxaman.dll>  [N/A]
    <{5182C1EB-375C-573D-1F5E-234552345215}><C:\WINDOWS\system32\wlhpri.dll>  [N/A]
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  [N/A]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>  []
<{1F364345-3094-1202-2581-45981903A4F1}><C:\WINDOWS\system32\rsqmapm.dll>  []


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsqmapm.dll>  []
设置为空

修复Winsock
1
查看完整版本: 【求助】这是什么病毒?exe文件一运行,桌面屏幕一闪下就没了
© 2000 - 2026 Rising Corp. Ltd.