瑞星卡卡安全论坛

导出了这几个可疑文件,烦帮再看看!谢谢,是否需要删除!

附件: 70373020071230175846.zip

日至!

附件: 70373020071230175919.txt

不习惯卡卡日志，但至少下列驱动相当可疑：
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\fat32.sys
c:\windows\system32a2.sys

建议发SREng日志。

换了！

附件: 70373020071230181425.txt

压缩包的样本卡巴和瑞星均报毒，另建议lz最好安装杀软。

附件: 75841920071230182247.jpg

在网上查了一下，这三个文件确定是病毒。

LotusHlp.exe
Win32.LwyMum.h.147456
资料来源：http://baike.baidu.com/view/1284515.html

病毒行为:

这是一个感染型病毒。该病毒运行后会自删除病毒源文件，下载海量病毒文件，在各盘生成AUTO病毒，当用户左键双击AUTO病毒的盘则立即触发病毒。该病毒还会主动感染其他的可执行文件，被感染的文件只要用户打开，立即再次激活该病毒，可见该病毒的出发是灵活多样。下载的病毒还具有盗号的功能，而且盗取的网络游戏范围很广，网游帐户持有者需特别注意。而且该病毒还有映像劫持的功能，众多著名的反病毒软件和安全软件都会被劫持。该病毒其严重性立杆见影，望广大网民注意防范。

1.病毒运行后，分别在系统盘目录下、%Temporary Internet Files%\Content.IE5(IE缓存)、%Program Files%\Internet

Explorer\PLUGINS、%WINDOWS%\Font、%WINDOWS%\system、%WINDOWS%\system32等等目录下生成非常多的病毒文件。

2.病毒运行成功后会自删除病毒源文件，使用户无法找到病毒源。

3.在各盘中都生成AUTO病毒，分别是：XP.EXE和autorun.inf病毒辅助文件。双击进入有AUTO病毒的盘符，立即触发病毒

，并且会发现病毒会通过另外一种方式进入该盘(正常情况是一双击就进入，而中了该病毒是双击后跳转进入)。

4.病毒运行后，马上会去感染可执行文件。被病毒感染的可执行文件在打开时，其实已经再次激活病毒。

5.下载的病毒具有盗号的功能，分别会盗取多种多样的网络游戏，例如：魔兽世界、梦幻西游、魔域、QQ......

6.查看任务管理器，病毒进程logogogo.exe正在运行，占用系统资源非常严重，系统处于半瘫痪状态。

7.在关闭计算机的时候，会发现关闭的速度非常缓慢，而且一直停留在关闭的截面上"正在保存设置......"

8.当强制重启以后，运行刚才被修改感染的可执行文件时，会立即生成ani.ani文件在执行文件的当前目录下。被感染的

文件有许多许多，例如反病毒、安全软件的可执行文件、WINRAR压缩包、MSN等。

9.浏览器也被感染，任何网站无法打开。

10。该病毒还会在注册表中添加映像劫持的项，著名的反病毒以及安全辅助工具都会被劫持，如金山毒霸、瑞星、360安全卫士、卡巴斯基等。

11.在启动项中可以看到，病毒把自身添加到启动项中，随着系统的启动而启动，相应的信息如下：
启动项名：logogogo 对应路径：%system32%\logogogo.exe
启动项名：LotusHlp 对应路径：%systemRoot%\LotusHlp.exe

解决办法：立即断网，重启，安全模式，然后用杀毒工具或360查杀。

请下载xdelbox删除以下文件（下载地址http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）(XdelBox的使用说明请参阅此帖

http://forum.ikaka.com/topic.asp?board=28&artid=8381032）
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里(下面的大框）点击右键选择从“剪贴板导入”，导入后在下面的大框点击右键，选择“立刻重启删除”，电脑会重

启自动进入DOS界面进行删除操作。
特别提醒：1.运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。2.下载的xdelbox需解压缩以后再运行。3.确认已经勾选xdelbox界面上的“备份文件”

选项。
c:\windows\system32\taskmonitor.exe
c:\windows\system32\avwghmn.dll
c:\program files\internet explorer\plugins\nvsys_55.sys
c:\windows\399952wl.dll
c:\windows\system32\dbghlp32.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\msprint32d.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\ssldyn.dll
c:\windows\ptsshell.exe
c:\windows\lotushlp.exe
c:\windows\399952l.exe
c:\windows\dbghlp32.exe
c:\windows\ssldyn.exe
c:\windows\wccxyy.exe
c:\windows\system32\26a1.com
c:\windows\system32a2.sys
c:\windows\system32\fat32.sys
c:\windows\\systemroot\system32\drivers\kimascph.sys
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\drivers\npf.sys

重起后打开SREng-在"启动项目->注册表->删除以下启动项目
[{8A1247C1-53DA-FF43-ABD3-345F323A48D8}]    <C:\WINDOWS\system32\avwghmn.dll>
[PTSShell]    <C:\WINDOWS\PTSShell.exe>
[LotusHlp]    <C:\WINDOWS\LotusHlp.exe>
[WinSysW]    <C:\WINDOWS\399952L.exe>
[DbgHlp32]    <C:\WINDOWS\DbgHlp32.exe>
[SSLDyn]    <C:\WINDOWS\SSLDyn.exE>
[MsPrint32D]    <C:\WINDOWS\wccxyy.exe>
[racer]    <>

编辑下面的注册表项目(双击该项目，在出现的对话框中清空‘值’这一栏）。提醒：请暂时关闭杀毒软件的实时监控以便操作成功。
双击<AppInit_DLLs>（红色的）在出现的对话框中‘值’的一栏删除avwghmn.dll


打开SREng-在"启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。 注

意弹出的窗口中要点 “NO 否”才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
服务
[TSECleanUpAssist / TSECleanUpAssist]    <C:\WINDOWS\system32\26a1.com>

打开SREng-在"启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。 注意弹出的窗

口中要点 “NO 否”才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[PciHardDisk / PciHardDisk]    <\??\C:\WINDOWS\system32\fat32.sys>
[kimascph / kimascph]    <\SystemRoot\\SystemRoot\System32\drivers\kimascph.sys>
[comint32 / comint32]    <\??\C:\WINDOWS\system32\DRIVERS\comint32.sys>
[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>

系统修复--浏览器加载项--删除如下项目
[]    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>

照你说的做了,看一下还有问题没!谢谢!

附件: 70373020071231165750.txt

c:\windows\downlo~1\cnsio.dll
c:\windows\downlo~1\cnsmin.dll
c:\windows\downlo~1\cnsminex.dll
c:\windows\downlo~1\cnsminio.dll
c:\windows\downlo~1\cnshook.dll
c:\windows\downlo~1\cnshint.dll
c:\windows\downlo~1\cnsplus.dll



楼上的日志，用瑞星粉碎器粉碎雅虎助手的东西

引用:

【骑着乌龟玩飘移的贴子】照你说的做了,看一下还有问题没!谢谢! ………………

日志没看出还有什么明显异常。电脑还有什么问题？
另再次建议楼主安装杀毒软件。

1楼的文件瑞星全报