斑竹们帮忙看下日至！确实中毒了！ bbs.ikaka.com

中毒了。。 - 2008-3-14 21:21:00

中毒了，斑竹帮忙看下日至
瑞星主程序打不开，
升级可以打开和病毒隔离打的开！
我改怎么办啊！
号都被盗了，心痛！！！
系统为xp/sp2
用Sreng扫了个日至上来。。。
求斑竹们帮帮忙看下。。想哭！！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; MAXTHON 2.0)

附件: 10238942008314210940.txt

baohe - 2008-3-14 22:02:00

【回复“中毒了。。”的帖子】
【回复“中毒了。。”的帖子】
1、在瑞星2008的主动防御的“程序启动控制”添加规则，禁止下列启动项、服务项、驱动项指向的程序启动运行：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<igzwzslm><C:\WINDOWS\gwsmhxuq.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WINSvr32><C:\WINDOWS\WINSvr32.exE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<Wingin><C:\WINDOWS\system32\Wingin.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{fe81474f-bcc6-4e2a-ab90-292a54fc9a3b}><C:\WINDOWS\system32\ayLABLAB1039.dll> []
<{207e3462-464f-4d71-a04d-cae986f7632f}><C:\WINDOWS\system32\ffPAOPAO1009.dll> []
<{3fece108-2ab9-41e4-a837-4357b943be94}><C:\WINDOWS\system32\ayHADHAD1048.dll> []
<{72bc444a-c621-4f4d-8504-57c948e81201}><C:\WINDOWS\system32\ffTQQTQQ1009.dll> []
<{2b677033-c094-4855-8f26-e19d1a100ba1}><C:\WINDOWS\system32\fBABBAB1035.dll> []
<{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}><C:\WINDOWS\system32\ffFKKFKK1047.dll> []
<{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}><C:\WINDOWS\system32\fSACSAC1016.dll> []
<{3be976db-b807-4251-81e8-38997856f675}><C:\WINDOWS\system32\fCBDCBD1033.dll> []
<{00951852-9758-4887-9755-C8761F5FDE61}><> [N/A]
驱动程序
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4B.tmp><N/A>
[msertk / msertk][Stopped/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[msskye / msskye][Stopped/Auto Start]
<system32\DRIVERS\msaclue.sys><N/A>
[phy / phy][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\DRIVERS\phy.sys><N/A>
浏览器加载项
[]
{4B23A8E5-CC9C-4A15-81F3-9B902C00AF4B} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
2、在瑞星2008的主动防御的“应用程序访问控制”添加规则，禁止C:\WINDOWS\EXPLORER.EXE运行其它程序。
3、重启。重启后，用sreng删除上述启动项、服务项、驱动项及其指向的程序。
4、删除C:\WINDOWS\EXPLORER.EXE（系统会自动生成一个新的）
5、升级瑞星，全盘杀毒。

豪斯登堡新郎 - 2008-3-14 23:11:00

1.用XDelBox以抑制再生方式删除以下文件：(http://www.dodudou.com/down/index.php 原创软件中的 XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\ayhadhad1048.dll
c:\windows\system32\aylablab1039.dll
c:\windows\system32\fbabbab1035.dll
c:\windows\system32\fcbdcbd1033.dll
c:\windows\system32\fffkkfkk1047.dll
c:\windows\system32\ffpaopao1009.dll
c:\windows\system32\fftqqtqq1009.dll
c:\windows\system32\fsacsac1016.dll
c:\windows\system32\wininat.dll
c:\windows\explorer.exe
c:\windows\winsvr32.exe
c:\windows\shaproc.exe
c:\windows\dbghlp32.exe
c:\windows\cmdbcs.exe
c:\windows\gwsmhxuq.exe
c:\windows\system32\wingin.exe
c:\windows\system32\drivers\phy.sys
c:\windows\system32\drivers\msaclue.sys
c:\windows\system32\drivers\msyecp.sys
c:\docume~1\admini~1\locals~1\temp\tmp4b.tmp
c:\program files\igalive\igalive.sys
c:\windows\system32\drivers\msosfpids32.sys
c:\docume~1\admini~1\locals~1\temp\tmp56.tmp
c:\program files\internet explorer\plugins\nvsys_55.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{00951852-9758-4887-9755-C8761F5FDE61}]
[{3be976db-b807-4251-81e8-38997856f675}]
[{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}]
[{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}]
[{2b677033-c094-4855-8f26-e19d1a100ba1}]
[{72bc444a-c621-4f4d-8504-57c948e81201}]
[{3fece108-2ab9-41e4-a837-4357b943be94}]
[{207e3462-464f-4d71-a04d-cae986f7632f}]
[{fe81474f-bcc6-4e2a-ab90-292a54fc9a3b}]
[WINSvr32]
[SHAProc]
[DbgHlp32]
[cmdbcs]
[igzwzslm]
[Wingin]

启动项目－－服务－－驱动程序之如下项删除：
[phy / phy]
[msskye / msskye]
[msertk / msertk]
[mhfp / mhfp]
[IGALIVE / IGALIVE]
[fpids32 / fpids32]
[dohs / dohs]

系统修复－－　浏览器加载项之如下项删除：
[] <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>
[] <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>

超级游戏迷 - 2008-3-15 1:30:00

引用:

【baohe的贴子】【回复“中毒了。。”的帖子】
【回复“中毒了。。”的帖子】
1、在瑞星2008的主动防御的“程序启动控制”添加规则，禁止下列启动项、服务项、驱动项指向的程序启动运行：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<igzwzslm><C:\WINDOWS\gwsmhxuq.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WINSvr32><C:\WINDOWS\WINSvr32.exE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<Wingin><C:\WINDOWS\system32\Wingin.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{fe81474f-bcc6-4e2a-ab90-292a54fc9a3b}><C:\WINDOWS\system32\ayLABLAB1039.dll> []
<{207e3462-464f-4d71-a04d-cae986f7632f}><C:\WINDOWS\system32\ffPAOPAO1009.dll> []
<{3fece108-2ab9-41e4-a837-4357b943be94}><C:\WINDOWS\system32\ayHADHAD1048.dll> []
<{72bc444a-c621-4f4d-8504-57c948e81201}><C:\WINDOWS\system32\ffTQQTQQ1009.dll> []
<{2b677033-c094-4855-8f26-e19d1a100ba1}><C:\WINDOWS\system32\fBABBAB1035.dll> []
<{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}><C:\WINDOWS\system32\ffFKKFKK1047.dll> []
<{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}><C:\WINDOWS\system32\fSACSAC1016.dll> []
<{3be976db-b807-4251-81e8-38997856f675}><C:\WINDOWS\system32\fCBDCBD1033.dll> []
<{00951852-9758-4887-9755-C8761F5FDE61}><> [N/A]
驱动程序
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4B.tmp><N/A>
[msertk / msertk][Stopped/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[msskye / msskye][Stopped/Auto Start]
<system32\DRIVERS\msaclue.sys><N/A>
[phy / phy][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\DRIVERS\phy.sys><N/A>
浏览器加载项
[]
{4B23A8E5-CC9C-4A15-81F3-9B902C00AF4B} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
2、在瑞星2008的主动防御的“应用程序访问控制”添加规则，禁止C:\WINDOWS\EXPLORER.EXE运行其它程序。
3、重启。重启后，用sreng删除上述启动项、服务项、驱动项及其指向的程序。
4、删除C:\WINDOWS\EXPLORER.EXE（系统会自动生成一个新的）
5、升级瑞星，全盘杀毒。
………………

呵呵,很好的思路,赞一个

瑞星卡卡安全论坛