瑞星卡卡安全论坛

Trojan-PSW.Win32.OnLineGames 等带有WIN32的病毒 开机后安全监控会退出


附件: 8208552007918213212.txt

+ 打印机监控
    + HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
      EPSON V6 Monitor4SA
        [AM] 63. c:\windows\system32\ebpmon24.dll


      Microsoft Document Imaging Writer Monitor
        [AM] 64. c:\windows\system32\mdimon.dll





+ 其他自启动项目
  + C:\Documents and Settings\All Users\「开始」菜单\程序\启动
    瑞星监控中心.lnk
      [A ] 65. c:\program files\rising\rav\ravmon.exe



  + e:\autorun.inf
    open
      [A ] 66. e:\auto.exe


    shellexecute
      [A ] 66. e:\auto.exe


    shell\Auto\command
      [A ] 66. e:\auto.exe



  + f:\autorun.inf
    open
      [A ] 67. f:\auto.exe


    shellexecute
      [A ] 67. f:\auto.exe


    shell\Auto\command
      [A ] 67. f:\auto.exe




+ 正在运行的进程
  + 00000128(296) srt.exe
    00400000[00160000]
      [ M] 68. c:\program files\yc-a5\srt.exe


    6BC40000[000FB000]
      [ M] 69. c:\program files\yc-a5\mfc42.dll


    25000000[00016000]
      [ M] 70. c:\program files\netmeeting\ravmsmon.dat


    10000000[00144000]
      [ M] 71. c:\documents and settings\shijiahuihao\local settings\temp\hicard.dll


    06020000[00028000]
      [ M] 72. c:\program files\yc-a5\srt.dll


    06060000[00008000]
      [AM] 54. c:\windows\system32\xyupri0.dll


    06070000[00009000]
      [ M] 73. c:\windows\system32\diskman32.dll



  + 000001b4(436) MDM.EXE
    00400000[0004D000]
      [AM] 3. c:\program files\common files\microsoft shared\vs7debug\mdm.exe


    51810000[00006000]
      [ M] 74. c:\program files\common files\microsoft shared\vs7debug\2052\mdmui.dll



  + 0000022c(556) smss.exe

  + 00000270(624) csrss.exe

  + 00000288(648) winlogon.exe
    72C80000[00008000]
      [ M] 75. c:\windows\system32\msacm32.drv



  + 000002b4(692) services.exe

  + 000002c0(704) lsass.exe

  + 0000036c(876) svchost.exe

  + 0000039c(924) svchost.exe

  + 000003d4(980) svchost.exe

  + 00000408(1032) svchost.exe

  + 00000458(1112) svchost.exe

  + 00000540(1344) alg.exe

  + 00000594(1428) Explorer.EXE
    10000000[00012000]
      [AM] 53. c:\windows\system32\system.dat


    00E60000[00008000]
      [AM] 54. c:\windows\system32\xyupri0.dll


    25000000[00016000]
      [ M] 70. c:\program files\netmeeting\ravmsmon.dat


    015C0000[00009000]
      [ M] 73. c:\windows\system32\diskman32.dll


    72C80000[00008000]
      [ M] 75. c:\windows\system32\msacm32.drv


    36D30000[0001A000]
      [ M] 76. c:\program files\microsoft office\office11\mcps.dll



  + 000005f8(1528) spoolsv.exe
    50400000[00015000]
      [AM] 63. c:\windows\system32\ebpmon24.dll


    009C0000[00008000]
      [AM] 64. c:\windows\system32\mdimon.dll


    009D0000[00008000]
      [ M] 77. c:\windows\system32\spool\prtprocs\w32x86\mdippr.dll



  + 00000698(1688) RavStub.exe
    00400000[00018000]
      [AM] 57. c:\program files\rising\rav\ravstub.exe


    10000000[0001B000]
      [ M] 78. c:\program files\rising\rav\rscommx.dll


    23700000[0001A000]
      [ M] 79. c:\program files\rising\rav\rscommon.dll



  + 00000728(1832) gdisvc.exe
    00400000[00014000]
      [ M] 80. c:\windows\system32\gdisvc.exe


    73390000[00154000]
      [ M] 81. c:\windows\system32\msvbvm60.dll



  + 00000af8(2808) wuauclt.exe

  + 00000b40(2880) IEXPLORE.EXE
    10000000[00017000]
      [AM] 34. c:\program files\flashget\jccatch.dll


    44800000[00020000]
      [AM] 35. c:\program files\yahoo!\assistant\assist\yphtb.dll


    39C00000[0002A000]
      [AM] 36. c:\program files\yahoo!\assistant\assist\yangling.dll


    44000000[0000E000]
      [AM] 37. c:\program files\yahoo!\assistant\assist\ydragsearch.dll


    00E20000[00029000]
      [AM] 38. c:\program files\flashget\getflash.dll


    45400000[0003C000]
      [AM] 39. c:\program files\yahoo!\assistant\assist\yflashdl.dll


    3B000000[00017000]
      [AM] 40. c:\program files\yahoo!\assistant\assist\yassist.dll



  + 00000bbc(3004) regin.exe
    00400000[0000B000]
      [ M] 82. c:\program files\common files\microsoft shared\vgx\regin.exe


    73390000[00154000]
      [ M] 81. c:\windows\system32\msvbvm60.dll



  + 00000c64(3172) Ras.exe
    00400000[00160000]
      [ M] 83. c:\program files\rising\antispyware\ras.exe


    10000000[00013000]
      [ M] 84. c:\program files\rising\antispyware\topsoft.dll


    7C140000[00103000]
      [ M] 85. c:\program files\rising\antispyware\mfc71.dll


    7C340000[00056000]
      [ M] 86. c:\program files\rising\antispyware\msvcr71.dll


    7C3A0000[0007B000]
      [ M] 87. c:\program files\rising\antispyware\msvcp71.dll


    5D360000[0000A000]
      [ M] 88. c:\windows\system32\mfc71chs.dll


    25000000[00016000]
      [ M] 70. c:\program files\netmeeting\ravmsmon.dat


    00D70000[000BD000]
      [ M] 89. c:\program files\rising\antispyware\rasgui.dll


    01300000[00008000]
      [AM] 54. c:\windows\system32\xyupri0.dll


    014C0000[00009000]
      [ M] 73. c:\windows\system32\diskman32.dll


    016B0000[0002F000]
      [ M] 90. c:\program files\rising\antispyware\engine.dll


    017F0000[00012000]
      [ M] 91. c:\program files\rising\antispyware\zip.dll

用KAKA扫的，大家帮我看看吧

还有Trojan.PSW.Win32.OnlineGames.yqk

帮我看看啊

请发sreng日志,你发的日志没详细信息,

下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

修改好了，大家帮我看看

========Content========
先下载Icesword冰刃1.22: http://www.onlinedown.net/soft/53325.htm
重启计算机按F8进入安全模式:
打开sreng
启动项目--注册表--删除如下项目:
<DiskMan32><C:\WINDOWS\DiskMan32.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
<MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
<{ACADABAF-1000-0010-8000-10AA006D2EA4}><C:\WINDOWS\system32\system.dat>  []
    <{E3F426F6-8634-42A5-A29E-BC694A88FB7D}><C:\WINDOWS\system32\xyupri0.dll>  []
<yassistse><; C:\Program Files\Yahoo!\Assistant\yAssistSe.exe>  [(Verified)"beijing yahoo consulting and service co., ltd."]

双击<AppInit_DLLs>清空<APIHookDll.dll>
打开sreng
点击启动项目--服务--Win32服务应用程序-- 勾选“隐藏经认证的微软项目”
等待列表出来之后点击以下项目:
[50C94A26 / 50C94A26][Stopped/Auto Start]
  <C:\WINDOWS\system32\12691A83.EXE -k><Microsoft Corporation>
[Gdi Server / Gdi Server][Stopped/Auto Start]
  <c:\program files\common files\system\gdiServer.exe><Microsoft Corporation>
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
打开sreng
点击启动项目--服务--驱动程序-- 勾选“隐藏经认证的微软项目”
等待列表出来之后点击以下项目:
[axrlxtnp / axrlxtnp][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\axrlxtnp.sys><Yahoo! China Corporation>
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
打开冰刃--文件强制删除以下文件:(删除前请不要双击我的电脑里的盘符)
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\msccrt.exe
<MSDEG32><LYLoader.exe
C:\WINDOWS\LYLoadbr.exe
C:\WINDOWS\LYLeador.exe
C:\WINDOWS\LYLoador.exe
C:\WINDOWS\LYLoadar.exe
C:\WINDOWS\LYLoadmr.exe
C:\WINDOWS\LYLoadhr.exe
C:\WINDOWS\LYLoadqr.exe
C:\WINDOWS\system32\system.dat
C:\WINDOWS\system32\xyupri0.dll
C:\WINDOWS\system32\12691A83.EXE
c:\program files\common files\system\gdiServer.exe
C:\WINDOWS\System32\DRIVERS\axrlxtnp.sys
C:\WINDOWS\system32\5C1BA27F.DLL
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\xyupri1.dll
C:\Program Files\NetMeeting\ravmsmon.dat
C:\PROGRA~1\Yahoo!(文件夹)
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\rzokjr.dll
C:\Autorun.inf
C:\auto.exe
D:\Autorun.inf
D:\auto.exe
E:\Autorun.inf
E:\auto.exe
F:\Autorun.inf
F:\auto.exe

以下三个文件本人未能确定,你自己看着删除吧.
[C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\adfbpd.dll]  [N/A, ]
    [C:\WINDOWS\system32\lmmqyd.dll]  [N/A, ]
打开sreng--系统修复--文件关联--修复

如果还有什么问题再重新扫描日志发上来.

C:\WINDOWS\system32\msccrt.dll这个肯定是病毒