瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求救..TCP受到攻击.瑞星一升级主程序就被删除

飘逸神 - 2008-1-22 9:51:00

1\详细内容2008-01-22 08:04:30, 系统禁止本地YTC.dll" i连接网络的请求，地址为：TCP, 0.0.0.0:1035 => 127.0.0.1:1025程序名称为：rundll32.exe "C:\WINDOWS\system32\YTC.dll" i
2\详细内容2008-01-21 18:00:18, 系统禁止本地SNW.dll" i连接网络的请求，地址为：TCP, 0.0.0.0:1035 => 127.0.0.1:1025程序名称为：rundll32.exe "C:\WINDOWS\system32\SNW.dll" i
受到以上两个网络TCP的攻击.被防火墙阻止.

进程老是出现:rundll32.exe
一升级瑞星,安装文件夹里的瑞星主程序就会被删除..

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

千寻旅 - 2008-1-22 10:13:00

肯定是病毒了。

下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、找到并打开日志，把日志中的内容用“复制”--“粘贴”命令拷贝到帖子上，不要修改地传上来（日志很长，一个帖子搞不完，请手动将全部内容在同一个主题帖下分多个回复帖子传上来）。
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等下载程序什么的程序）和IE窗口（请注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。
3、SRENG操作图文详解：http://forum.ikaka.com/topic.asp?board=201&artid=8343881

lqqk7 - 2008-1-22 10:21:00

lz确认以下哪种情况跟你相同：
1 瑞星升级过程中界面消失，查看安装目录发现文件被删除
2 瑞星升级正常完成，不需要重启，再查看安装目录发现文件被删除
3 瑞星升级正常，需要重启才能完成，重启后未出现更新界面，查看安装目录发现文件被删除
4 瑞星升级正常，需要重启才能完成，重启后却自动运行卸载程序
5 上面的情况跟我的都不相同（请详细描述情况）
lz详细描述，并提供sreng日志

飘逸神 - 2008-1-22 11:01:00

【回复“lqqk7”的帖子】
瑞星升级正常完成，不需要重启，再查看安装目录发现文件被删除

飘逸神 - 2008-1-22 11:09:00

【回复“千寻旅”的帖子】
下载后.无法运行你说的SREngPS.exe..程序马上被删除了.出现"0x7c92d6a1"指令引用的"0X00200000"内存.该内存不能为"read".要终止程序,请单击"确实".
接着防火墙发现
(1)详细内容2008-01-22 10:55:30, 系统禁止本地33322645.dll" i连接网络的请求，地址为：TCP, 0.0.0.0:1640 => 127.0.0.1:1025程序名称为：rundll32.exe "c:\windows\system32\33322645.dll" i

lqqk7 - 2008-1-22 11:20:00

请将SREngPS.EXE改名运行，或者直接下载附件，解压后尝试运行。

附件: 6701582008122110832.zip

afkp4e7 - 2008-1-22 11:23:00

病毒很强很暴力

飘逸神 - 2008-1-22 11:26:00

【回复“lqqk7”的帖子】
看来还真是厉害..你说的也都无法运行哦
改名不可以.
直接运行也不行.

lqqk7 - 2008-1-22 11:30:00

卡卡助手能否正常运行？

afkp4e7 - 2008-1-22 11:33:00

后缀改成com试试
exe关联被改了吧

天月来了 - 2008-1-22 11:35:00

先下载SRENG工具在桌面上，然后看看能不能去安全模式下改名扫日志

实在不行去这里下载那个工具，看看能不能扫日志：

http://www.du110.com/viewthread.php?tid=3691&extra=page%3D1

或者去下载江民软件安装试试。
这里官网下载2008的江民。
http://update13.jiangmin.com/download/kv2008.exe

加楠 - 2008-1-22 12:13:00

顶楼那两个文件，直接删掉先。..

lqqk7 - 2008-1-22 12:59:00

lz怎么没消息了？天月提供的工具能否运行？

飘逸神 - 2008-1-22 13:04:00

天月提供的没下载地址啊.江民也没序列号.

你的附件也不能运行.123.exe.

飘逸神 - 2008-1-22 13:16:00

还有什么好招吗?兄弟们

lqqk7 - 2008-1-22 13:20:00

给你的附件应该是123.com啊

afkp4e7 - 2008-1-22 13:27:00

改成123.scr
不行试下KsSafetyCenter

飘逸神 - 2008-1-22 13:34:00

【回复“afkp4e7”的帖子】KsSafetyCenter
在哪下载...改成屏保也无法运行.一下子就被删除了

飘逸神 - 2008-1-22 13:37:00

卡卡扫描的日志..请XDM查看下一步

附件: 10002402008122132551.txt

飘逸神 - 2008-1-22 13:38:00

卡卡扫描日志

附件: 10002402008122132648.txt

lqqk7 - 2008-1-22 13:46:00

————————————————————————————————————————
务必断开网络链接后再进行以下操作；
————————————————————————————————————————
使用Xdelbox删除以下文件：
Xdelbox下载地址：http://www.dodudou.com/down/ 打开后选择【原创软件】，下载XDelBox1.6。
Xdelbox使用方法：http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”
————————————————————————————————————————
c:\windows\system32\npptnt2.sys
c:\windows\system32\fat32.sys
c:\windows\system32\drivers\mkbobynd.sys
c:\windows\system32\ytc.dll
c:\windows\system32\ubu.jqj
c:\windows\system32\mtm.dll
————————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的windows系统，
第二个选项是Xdelbox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入windows系统，
然后再按以下步骤操作：
————————————————————————————————————————
重启之后尝试sreng能否运行，如果可以到话再扫个sreng日志。
使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩sreng2.zip；
2、运行SREngPS.EXE；
3、依次点击【智能扫描】-【扫描】；
4、耐心等待，扫描结束后点击【保存报告】；
5、选择保存路径，文件名保持默认，直接点击【保存】；
6、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
7、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

无情5453 - 2008-1-22 13:50:00

该用户帖子内容已被屏蔽

飘逸神 - 2008-1-22 14:06:00

c:\windows\system32\fat32.sys

c:\windows\system32\ytc.dll

这两个好象找不到.复制不上去.
已有效果.请看新的扫描..

附件: 10002402008122135517.txt

飘逸神 - 2008-1-22 14:11:00

入口点错误：CreateProcessA (危险等级: 高, 被下面模块所HOOK: 0x00EC212D)
入口点错误：CreateProcessW (危险等级: 高, 被下面模块所HOOK: 0x00EC2215)

扫描发现的这个...如何处理..还是没关系呢

lqqk7 - 2008-1-22 14:14:00

【回复“飘逸神”的帖子】
XDelBox一定要下载1.6版本的那个，复制文件时选择“剪贴板导入不检查路径”！

入口点错误与杀毒软件或防火墙有关，正常，不用理会。

日志正在看，稍后。。。

lqqk7 - 2008-1-22 14:27:00

————————————————————————————————————————
务必断开网络链接后再进行以下操作；
————————————————————————————————————————
使用Xdelbox删除以下文件：
Xdelbox下载地址：http://www.dodudou.com/down/ 打开后选择【原创软件】，下载XDelBox1.6。
Xdelbox使用方法：http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”
————————————————————————————————————————
C:\WINDOWS\system32\ubu.jqj
C:\WINDOWS\system32\YTC.dll
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\SSLDyn.exE
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\System32\DRIVERS\mkbobynd.sys
C:\WINDOWS\system32\npptNT2.sys
C:\WINDOWS\system32\fat32.sys
————————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的windows系统，
第二个选项是Xdelbox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入windows系统，
然后再按以下步骤操作：
————————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【注册表】，将以下项删除：
<zgz> <C:\WINDOWS\system32\ubu.jqj>
<{69ACE013-8ACD-3578-478A-E023679ADE02}> <C:\WINDOWS\system32\YTC.dll>
<IFEO[033.exe]> <C:\windows\system32\svchost.exe>
<IFEO[1068.exe]> <C:\windows\system32\svchost.exe>
<IFEO[133c010.exe]> <C:\windows\system32\svchost.exe>
<IFEO[3fa1.exe]> <C:\windows\system32\svchost.exe>
<IFEO[60e41.exe]> <C:\windows\system32\svchost.exe>
<IFEO[a.exe]> <C:\windows\system32\svchost.exe>
<IFEO[ad6421.exe]> <C:\windows\system32\svchost.exe>
<IFEO[aimi008.exe]> <C:\windows\system32\svchost.exe>
<IFEO[an006.exe]> <C:\windows\system32\svchost.exe>
<IFEO[avwghst.exe]> <C:\windows\system32\svchost.exe>
<IFEO[avzxmst.exe]> <C:\windows\system32\svchost.exe>
<IFEO[cns.exe]> <C:\windows\system32\svchost.exe>
<IFEO[d03.exe]> <C:\windows\system32\svchost.exe>
<IFEO[d39.exe]> <C:\windows\system32\svchost.exe>
<IFEO[DelMI2345.exe]> <C:\windows\system32\svchost.exe>
<IFEO[dms.exe]> <C:\windows\system32\svchost.exe>
<IFEO[dns.exe]> <C:\windows\system32\svchost.exe>
<IFEO[dodolook573.exe]> <C:\windows\system32\svchost.exe>
<IFEO[dodolook7529.exe]> <C:\windows\system32\svchost.exe>
<IFEO[FirefoxGoogleToolbarSetup.exe]> <C:\windows\system32\svchost.exe>
<IFEO[gjfhazc.exe]> <C:\windows\system32\svchost.exe>
<IFEO[gjtmazc.exe]> <C:\windows\system32\svchost.exe>
<IFEO[GLF49.tmp.exe]> <C:\windows\system32\svchost.exe>
<IFEO[habooSetup_a.exe]> <C:\windows\system32\svchost.exe>
<IFEO[habooSetup_b.exe]> <C:\windows\system32\svchost.exe>
<IFEO[habooSetup_c.exe]> <C:\windows\system32\svchost.exe>
<IFEO[host.exe]> <C:\windows\system32\svchost.exe>
<IFEO[kafykaz.exe]> <C:\windows\system32\svchost.exe>
<IFEO[kapjgaz.exe]> <C:\windows\system32\svchost.exe>
<IFEO[KERNL32.exe]> <C:\windows\system32\svchost.exe>
<IFEO[kvdxlis.exe]> <C:\windows\system32\svchost.exe>
<IFEO[kvdxslis.exe]> <C:\windows\system32\svchost.exe>
<IFEO[LYLOADER.EXE]> <C:\windows\system32\svchost.exe>
<IFEO[mprmsgse.axz]> <C:\windows\system32\svchost.exe>
<IFEO[my_70145.exe]> <C:\windows\system32\svchost.exe>
<IFEO[pp.exe]> <C:\windows\system32\svchost.exe>
<IFEO[qyl_tmp.exe]> <C:\windows\system32\svchost.exe>
<IFEO[realplay.exe]> <C:\windows\system32\svchost.exe>
<IFEO[Routingi.exe]> <C:\windows\system32\svchost.exe>
<IFEO[rsjzasp.exe]> <C:\windows\system32\svchost.exe>
<IFEO[rundll.exe]> <C:\windows\system32\svchost.exe>
<IFEO[servciesff.exe]> <C:\windows\system32\svchost.exe>
<IFEO[snowfall.exe]> <C:\windows\system32\svchost.exe>
<IFEO[svch0st.exe]> <C:\windows\system32\svchost.exe>
<IFEO[svchcst.exe]> <C:\windows\system32\svchost.exe>
<IFEO[sysloader.exe]> <C:\windows\system32\svchost.exe>
<IFEO[SystemApiReg.exe]> <C:\windows\system32\svchost.exe>
<IFEO[temp0031.tmp]> <C:\windows\system32\svchost.exe>
<IFEO[upxdnd.exe]> <C:\windows\system32\svchost.exe>
<IFEO[usbhelp.exe]> <C:\windows\system32\svchost.exe>
<IFEO[vista.exe]> <C:\windows\system32\svchost.exe>
<IFEO[windowssystem.exe]> <C:\windows\system32\svchost.exe>
<IFEO[winsys.exe]> <C:\windows\system32\svchost.exe>
<IFEO[wscript32.exe]> <C:\windows\system32\svchost.exe>
<IFEO[wsmseax.exe]> <C:\windows\system32\svchost.exe>
<IFEO[zsmscc071001.exe]> <C:\windows\system32\svchost.exe>
<LotusHlp> <; C:\WINDOWS\LotusHlp.exe>
<MsPrint32D> <; C:\WINDOWS\MsPrint32D.exe>
<SSLDyn> <; C:\WINDOWS\SSLDyn.exE>
<upxdnd> <; C:\WINDOWS\upxdnd.exe>
————————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[mkbobynd / mkbobynd][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\mkbobynd.sys>
[NPPTNT2 / NPPTNT2][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npptNT2.sys>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\fat32.sys>
————————————————————————————————————————
打开SREngPS.EXE，选择【系统修复】-【文件关联】，将【全选】打钩，点击【修复】；
————————————————————————————————————————
上述操作全部完成后重启电脑，确保杀毒软件监控和防火墙均已经正常开启，如果不能开启可以先修复；
然后连网，升级杀毒软件到最新版本，再断网进行全盘杀毒；
再次重启电脑，查看问题是否已经解决；
如果系统能够通过正版验证，建议通过windows update给系统打全补丁，或者使用第三方工具给系统打补丁；
如果仍有问题，请使用SREng重新扫描日志，将日志上传，并详细描述新的问题现象。

飘逸神 - 2008-1-22 20:22:00

重新扫描的文件..你再帮我看下

附件: 10002402008122201109.txt

a68857110 - 2008-1-22 20:57:00

先把瑞星删除在安装瑞星的时候到别的盘

飘逸神 - 2008-1-22 21:01:00

【回复“4443434”的帖子】
关键是要删除病毒..
瑞星在删除在重装..意义不大哦

lqqk7 - 2008-1-22 21:17:00

用冰刃删除文件：
c:\windows\upxdnd.exe
c:\windows\ssldyn.exe
c:\windows\msprint32d.exe
c:\windows\lotushlp.exe

用sreng选择【启动项目】-【注册表】，将以下项删除：
[upxdnd] <; C:\WINDOWS\upxdnd.exe>
[SSLDyn] <; C:\WINDOWS\SSLDyn.exE>
[MsPrint32D] <; C:\WINDOWS\MsPrint32D.exe>
[LotusHlp] <; C:\WINDOWS\LotusHlp.exe>

12

查看完整版本: 求救..TCP受到攻击.瑞星一升级主程序就被删除

© 2000 - 2026 Rising Corp. Ltd.