瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 流行盗号病毒,卡吧无办法~~(附日志)
2007hkd - 2007-9-29 21:35:00
流行盗号病毒,卡吧无办法~~(附日志),望大家帮帮忙~~

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TencentTraveler )


附件: 9517582007929212420.txt
流星陨落 - 2007-9-29 21:48:00
1.建议使用XDelBox删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\lymangr.dll
c:\program files\common files\syinfo.bps
c:\windows\system32\rsmycpm.dll
c:\program files\netmeeting\avpqj.exe
c:\program files\netmeeting\avpqj.dat
c:\windows\system32\drivers\ftsata2.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{72204F90-5CD6-41B1-BD69-62CD84C9FB24}]    <C:\Program Files\Common Files\SyInfo.bps>
[{3E32FA58-3453-FA2D-BC49-F340348ACCE3}]    <C:\WINDOWS\system32\rsmycpm.dll>
[avpqj]    <C:\Program Files\NetMeeting\avpqj.exe>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[FTSATA2 / FTSATA2]    <\SystemRoot\System32\DRIVERS\ftsata2.sys>
baohe - 2007-9-29 21:53:00
【回复“2007hkd”的帖子】
用IceSword禁止进程创建。
结束下列进程:
C:\WINDOWS\cmdbcs.exe
C:\Program Files\NetMeeting\avpqj.exe
C:\WINDOWS\system32\LYLoader.exe
C:\WINDOWS\system32\LYLoadbr.exe
C:\WINDOWS\system32\LYLoador.exe
C:\WINDOWS\system32\LYLoadar.exe
C:\WINDOWS\system32\LYLoadmr.exe
C:\WINDOWS\system32\LYLoadhr.exe
C:\WINDOWS\system32\LYLoadqr.exe
将下列文件名的后缀去掉:
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\cmdbcs.dll
C:\Program Files\NetMeeting\avpqj.dat
C:\WINDOWS\system32\rsmycpm.dll
C:\Program Files\Common Files\SyInfo.bps
C:\WINDOWS\cmdbcs.exe
C:\Program Files\NetMeeting\avpqj.exe
C:\WINDOWS\system32\LYLoader.exe
C:\WINDOWS\system32\LYLoadbr.exe
C:\WINDOWS\system32\LYLoador.exe
C:\WINDOWS\system32\LYLoadar.exe
C:\WINDOWS\system32\LYLoadmr.exe
C:\WINDOWS\system32\LYLoadhr.exe
C:\WINDOWS\system32\LYLoadqr.exe
重启。
删除下列注册表内容:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <avpqj><C:\Program Files\NetMeeting\avpqj.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  []
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{72204F90-5CD6-41B1-BD69-62CD84C9FB24}><C:\Program Files\Common Files\SyInfo.bps>  [N/A]
    <{3E32FA58-3453-FA2D-BC49-F340348ACCE3}><C:\WINDOWS\system32\rsmycpm.dll>  [N/A]
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\DRIVERS\npf.sys><CACE Technologies>
删除下列文件:
C:\WINDOWS\system32\LYMANGR
C:\WINDOWS\system32\cmdbcs
C:\Program Files\NetMeeting\avpqj
C:\WINDOWS\cmdbcs.exe
C:\Program Files\NetMeeting\avpqj.exe
C:\WINDOWS\system32\LYLoader.exe
C:\WINDOWS\system32\LYLoadbr.exe
C:\WINDOWS\system32\LYLoador.exe
C:\WINDOWS\system32\LYLoadar.exe
C:\WINDOWS\system32\LYLoadmr.exe
C:\WINDOWS\system32\LYLoadhr.exe
C:\WINDOWS\system32\LYLoadqr.exe
C:\Program Files\Common Files\SyInfo
C:\WINDOWS\system32\rsmycpm
修复hosts文件。
haohe的fans - 2007-9-29 21:54:00

下载 System Repair Engineer系统扫描工具软件,下载地址如下:
http://www.kztechs.com/sreng/download.html,解压缩所下载的sreng2.zip压缩包;打开已经解压缩的SRENG文件夹,双击运行其中的SREngPS.exe;SRENG操作图文详解:http://forum.ikaka.com/topic.asp?board=67&artid=8125594

haohe的fans - 2007-9-29 21:56:00
对不起,3楼发错地方了,请不要照做
changderen - 2007-9-29 23:05:00
卡巴连盗号病毒也杀不了,这也太差了!找楼上的试试吧!
1
查看完整版本: 流行盗号病毒,卡吧无办法~~(附日志)
© 2000 - 2026 Rising Corp. Ltd.