【求助】急~~上百个病毒 bbs.ikaka.com

追风筝的人 - 2008-1-28 18:16:00

好象是上周五晚上感染的。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: 10095882008128180439.rar

追风筝的人 - 2008-1-28 18:22:00

每次都能发现100多个。杀掉了又能找到。自动复活一样！很多时候瑞星监控都呈红色禁止状态。防火墙自动退出。无法能过开始菜单栏中的收藏夹打开网页，只能点桌面上的IE图标。
所有的快捷方式似乎都被绑上了个什么命令，一开机就频频报错。再点击快捷方式，还是报错。（类似附件中的那个图片内容）
原来装的安全卫士360无法使用。重新安装，情况依旧。
有人说用AVG Anti-Spyware，有人说不要用。我不想重新系统。快帮我想想办法吧。拜托啦！

追风筝的人 - 2008-1-28 18:24:00

还有，现在的瑞星版本是20。28。62

流星陨落 - 2008-1-28 19:09:00

加我QQ

流星陨落 - 2008-1-28 19:40:00

看这个帖子，发个sreng日志

http://forum.ikaka.com/topic.asp?board=40&artid=8353388

追风筝的人 - 2008-1-28 20:09:00

SRENG日志

附件: 10095882008128195824.txt

追风筝的人 - 2008-1-28 20:18:00

之前学你在另一贴中写的，先用WINDOW清理助手清理了一下，发现多个木马病毒，根据提示处理之后，又重启了系统。结果在瑞星DOS扫描时，又发现一个C盘中的ROOTKIT开头的病毒。删除成功。
SRENG日志是进入WINDOWS状态后扫描得到的。不知道是不是符合你要求。
另外，刚点击SRENG。EXE程序的时候，系统出现如下图的提示。

附件: 10095882008128200635.jpg

流星陨落 - 2008-1-28 20:44:00

C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\dhyszj.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\mfdesy.dll

以上文件上报瑞星鉴定，并用置顶帖软件粉碎

豪斯登堡新郎 - 2008-1-28 20:46:00

***从c:\windows\system32\dllcache\下复制userinit.exe文件替换c:\windows\system32\下原文件***

1.建议使用XDelBox删除以下文件：(http://www.dodudou.com/down/index.php)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\21.exe
c:\windows\system32\20.exe
c:\windows\system32\18.exe
c:\windows\system32\10.exe
c:\windows\system32\9.exe
c:\windows\system32\7.exe
c:\windows\system32\2.exe
c:\windows\system32\fmcvxy.dll
c:\windows\system32\hddguard.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\jhrcar.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\sgrefg.dll
c:\windows\system32\zjydcx.dll
c:\windows\system32\nauhgnem.dll
c:\windows\system32\auhad.dll
c:\windows\system32\gnolnait.dll
c:\windows\system32\uohsom.dll
c:\windows\system32\utgnehz.dll
c:\windows\system32\gnaixnauhqq.dll
c:\windows\system32\hjxr.dll
c:\windows\system32\iqnauhc.dll
c:\windows\system32\naijoad.dll
c:\windows\system32\naixuhz.dll
c:\windows\system32\niluw.dll
c:\windows\system32\3auhad.dll
c:\windows\system32\jsqc.dll
c:\windows\system32\dhyszj.dll
f:\cxh\systemsafer\systemsafer\systemsafer.exe
c:\windows\system32\drivers\msaclue.sys
c:\windows\system32\drivers\pcihdd2.sys
c:\windows\system32\drivers\ati32srv.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{7914E0AA-ECCB-4311-B584-C49538227824}]
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]
[{272A3236-188A-4E8A-8675-868AF8A8D151}]
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]
[{DC3D30AE-0380-4151-8934-EE98A34B0370}]
注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略
[SystemSafer.exe]

启动项目－－服务－－驱动程序之如下项删除：
[msskye / msskye]
[DeepFree Update / DeepFree Update]
[ATI2HDDSRV / ATI2HDDSRV]

3.更新杀毒软件至最新，进行全盘杀毒

追风筝的人 - 2008-1-28 21:20:00

XDelBox没找到C:\WINDOWS\system32\dhyszj.dll
说不存在该文件。软件不支持删除文件夹。其余7个已经找到。但是按照提示选择立刻重启删除后，问题依然存在。只是IE可以通过开始菜单的收藏夹打开了。
而且那7个文件，在重启后还能通过XDelBox找到。是不是不应该这样？

追风筝的人 - 2008-1-28 21:23:00

另外，回8楼的，你说的那个dllcache文件夹，我没找到

CAPTjoe - 2008-1-28 21:31:00

引用:

【追风筝的人的贴子】另外，回8楼的，你说的那个dllcache文件夹，我没找到
………………

显示隐藏文件才能看到：工具--文件夹选项--查看--显示所有文件和文件夹，并取消“隐藏受保护的系统文件（推荐）”前面的勾--确定

追风筝的人 - 2008-1-28 21:38:00

引用:

【CAPTjoe的贴子】
显示隐藏文件才能看到：工具--文件夹选项--查看--显示所有文件和文件夹，并取消“隐藏受保护的系统文件（推荐）”前面的勾--确定
………………

无法复制USERINIT：文件正在被另一个人或程序使用。关闭任何可能使用这个文件的程序，重新试一次。

CAPTjoe - 2008-1-28 21:43:00

ctrl+alt+del调出任务管理器，结束userinit.exe的进程后再试试替换C:\WINDOWS\system32\userinit.exe。

追风筝的人 - 2008-1-28 21:52:00

替换成功。是要文件名再改成“userinit.exe,”吗？

追风筝的人 - 2008-1-28 21:54:00

另外，那一长串要删除的文件中，还是有10个在XDelBox中找不到。怎么办？
这其中也包括了前面所提到的c:\windows\system32\dhyszj.dll

CAPTjoe - 2008-1-28 21:59:00

不知道lz的操作效果如何？电脑现况又怎样了？建议重扫日志上传。

追风筝的人 - 2008-1-28 22:09:00

再次上传SRENG日志
我只是按照流星陨落版主所说的，用XDelBox删除了那几个文件。当然，C:\WINDOWS\system32\dhyszj.dll没找到。
重启后，因为问题没解决。又根据豪斯登堡新郎写的替换了userinit.exe，并加了逗号。下面就没敢做。。。。

附件: 10095882008128215752.txt

追风筝的人 - 2008-1-28 22:12:00

还有一点，为什么我启动任何一个程序，包括XDelBox，都会出现象下面这样的提示？难道病毒也感染到这些文件上了？

附件: 10095882008128220045.jpg

CAPTjoe - 2008-1-28 22:27:00

手动清除，可参考下述方法。但是必须注意在完成杀毒操作以前，不要打开任何分区，否则前功尽弃，杀毒过程中所需的工具软件需要重新下载（包括SREng)，解压后保存在桌面直接使用。
请下载xDelbox 1.6删除以下文件（下载地址http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）(XdelBox的使用说明请参阅此帖http://forum.ikaka.com/topic.asp?board=28&artid=8381032）
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择“从剪贴板导入不检查路径”，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
特别提醒：1.下载xdelbox压缩包后将所有的文件解压到一个文件夹，再运行xdelbox。2.确认在xdelbox的界面上已经勾选“备份文件”。
c:\windows\system32\3auhad.dll
c:\windows\system32\auhad.dll
c:\windows\system32\gnaixnauhqq.dll
c:\windows\system32\gnolnait.dll
c:\windows\system32\hjxr.dll
c:\windows\system32\iqnauhc.dll
c:\windows\system32\jsqc.dll
c:\windows\system32\naijoad.dll
c:\windows\system32\naixuhz.dll
c:\windows\system32\nauhgnem.dll
c:\windows\system32\niluw.dll
c:\windows\system32\uohsom.dll
c:\windows\system32\utgnehz.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\jhrcar.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\sgrefg.dll
c:\windows\system32\zjydcx.dll
c:\windows\system32\dhyszj.dll
c:\windows\system32\drivers\msaclue.sys
c:\windows\system32\drivers\pcihdd2.sys
c:\windows\system32\drivers\ati32srv.sys

重起电脑，（会有数个文件夹弹出，此属正常--因其启动项还存在）
打开SREng-在"启动项目->注册表->删除以下启动项目
[{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}] <C:\WINDOWS\system32\jhrcar.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] <C:\WINDOWS\system32\fmcvxy.dll>
[{272A3236-188A-4E8A-8675-868AF8A8D151}] <C:\WINDOWS\system32\dhyszj.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zjydcx.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgrefg.dll>
[{DC3D30AE-0380-4151-8934-EE98A34B0370}] <C:\WINDOWS\system32\mfdesy.dll>

打开SREng-在"启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。注意弹出的窗口中要点 “NO 否”才是确认删除服务）(不能删除的就禁用:启动类型（下拉选项）改为disabled,点中“修改启动类型”，点设置):
[msskye / msskye] <system32\DRIVERS\msaclue.sys>
[DeepFree Update / DeepFree Update] <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys>
[ATI2HDDSRV / ATI2HDDSRV] <\??\C:\WINDOWS\system32\drivers\ati32srv.sys>

CAPTjoe - 2008-1-28 23:28:00

引用:

【追风筝的人的贴子】替换成功。是要文件名再改成“userinit.exe,”吗？
………………

这么久没回帖，估计lz还真是把userinit.exe改成“userinit.exe,”了，这会造成开机时系统反复注销的。

流星陨落 - 2008-1-29 1:30:00

找不到的文件不管

流星陨落 - 2008-1-29 1:31:00

楼主有问题继续补充，我们会对你的问题继续关注。没问题的话，把帖子设置为已解决

追风筝的人 - 2008-1-29 12:14:00

不好意思，昨天太晚了，后来就下线了。

追风筝的人 - 2008-1-29 13:00:00

刚才按照上面各位高手所述的方法操作了，情况似乎有所好转，可是开机后还是有一连串的报错

是不是过了一晚上，又有啥新变化了呀？我传了最新的日志，再麻烦各位帮看一下。谢谢了！

附件: 10095882008129124848.txt

流星陨落 - 2008-1-29 17:29:00

开机报错什么，截图来看看

CAPTjoe - 2008-1-29 18:19:00

日志未见异常。楼主所提到的开机报错细节？电脑还有什么异常表现？

追风筝的人 - 2008-1-29 18:58:00

开机后，刚进入XP系统，就出来如下图一样的提示。一共有十来个。
之后，要启动任一程序，不论是解压缩软件，还是QQ，也会出现这样的提示。

附件: 10095882008129184645.jpg

追风筝的人 - 2008-1-29 20:16:00

刚用瑞星又查杀到很多病毒。现将瑞星中导出的日志文件上传上来。其中29日19点之后的，就是刚查杀的记录

附件: 10095882008129200509.rar

追风筝的人 - 2008-1-29 20:17:00

这是刚做的SRENG日志

附件: 10095882008129200537.txt

瑞星卡卡安全论坛