很麻烦的病毒请高手帮忙! bbs.ikaka.com

偌无骐誓 - 2008-4-21 19:02:00

发现电脑中毒我的电脑图标无法正常显示瑞星被关闭防火墙被关闭 360安全卫士被关闭查阅网站发现是机器狗病毒 下载了360安全卫士的机器狗专杀能够杀到病毒但是总杀总有说是第三方软件 Realplay的漏洞于是卸载了 Realplay 但是情况依旧 现在使用360顽固木马清除工具结合机器狗专杀在安全模式下杀了木马病毒瑞星杀毒软件及防火墙均可正常打开连上网络把瑞星杀毒软件升级成功但是马上瑞星杀毒软件和防火墙,360安全卫士又被关闭一查又有很多木马程序 使用升级成功的瑞星杀毒软件全盘查杀杀出63个病毒但是一连接上网络马上又照旧 应该怎么办? 一连上网络马上就又有很多病毒了杀毒软件就被关闭郁闷 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5))

嗷嗷不高兴 - 2008-4-21 19:48:00

把瑞星的历史记录中扫描记录所有病毒这个页面导出来发上来看看

偌无骐誓 - 2008-4-22 11:25:00

因为在上网状态无法打开瑞星
所以先运行 360提供的顽固木马专杀大全v1.7 进行基本诊断
诊断结果如下(附件)

附件: 10299512008422111326.txt

偌无骐誓 - 2008-4-22 11:28:00

然后开启 360提供的机器狗专杀v5.2进行扫描

结果如下:
机器狗专杀 v5.2

盗号木马和下载者：
C:\WINDOWS\fmsiocps.exe
C:\WINDOWS\dbhlp32.exe
C:\WINDOWS\bincdwsa.exe
C:\WINDOWS\mfchlp64.exe
C:\WINDOWS\fmsbbqi.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\WINSvr64.exe
C:\WINDOWS\huifitc.exe
C:\WINDOWS\mppds.EXE
C:\WINDOWS\dndsioc.exe
C:\WINDOWS\Kvsc3.exE
c:\windows\system32\msosping01.dll
c:\windows\system32\msoscqit01.dll
c:\windows\system32\msosfmsq00.dll
c:\windows\system32\msoscqit00.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\upxdnd.dll
c:\windows\system32\avpsrv.dll
c:\windows\system32\msimms32.dll
c:\windows\system32\wihmihoh.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\mppds.dll
c:\windows\system32\fmbiost.dll
c:\windows\system32\tciocp32.dll
c:\windows\system32\kvsc3.dll
c:\windows\215366wl.dll
c:\windows\system32\msosmhfp03.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosmnsf01.dll
c:\windows\system32\msosptfs01.dll

恶性病毒，推荐使用杀毒软件进行全盘查杀：
c:\windows\system32\msosdrop01.dll
C:\WINDOWS\system32\msosmhfp02.dll
C:\WINDOWS\system32\msosdohs00.dll
C:\WINDOWS\system32\msosmnsf00.dll
C:\WINDOWS\system32\msosdrop00.dll
C:\WINDOWS\system32\msosptfs00.dll
C:\WINDOWS\system32\msosmhfp.dat
C:\WINDOWS\system32\msosdohs.dat
C:\WINDOWS\system32\msoscqit.dat
C:\WINDOWS\system32\msosmnsf.dat
C:\WINDOWS\system32\msosping.dat
C:\WINDOWS\system32\msosdrop.dat
C:\WINDOWS\system32\msosptfs.dat
C:\WINDOWS\system32\msosfmsq.dat

＋在您的机器上发现 MS 恶性病毒，其会破坏 360safe 等安全软件。
＋此病毒可能需要查杀并重启1次，查杀结束后请重新安装 360safe.
＋如果还有问题，请到我们的论坛 bbs.360safe.com 求助。
请确认后点击清除!

偌无骐誓 - 2008-4-22 11:32:00

此时电脑提示重启于是重启

重启动后在未连接网络情况下(互联星空未拨号) 弹出对话框说明360安全卫士未开启保护选择开启时时保护之后
自动启动360安全卫士然后进行扫描
此时不断提示有程序注入启动项有木马程序正在安装均阻止和卸载之后 360安全卫士查出有9款恶评插件
查看均为木马查杀后提示需重启

再次重启

天月来了 - 2008-4-22 11:33:00

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

你可以打开日志后，在左上角的“编辑”里选择“全选”再选择“复制”
就可以彻底复制日志内容到另一个空记事本保存了

偌无骐誓 - 2008-4-22 11:39:00

此时方可打开瑞星杀毒软件
导出昨日使用瑞星杀毒软件查杀结果在附件

附件: 10299512008422112723.txt

偌无骐誓 - 2008-4-22 11:50:00

引用:

【天月来了的贴子】扫SRENG日志发论坛来

………………

谢谢已经扫描了在附件麻烦各位高手了!

附件: 10299512008422113759.txt

sanjingshou - 2008-4-22 12:42:00

运行SRENG删除启动项目注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<fmsiocps><C:\WINDOWS\fmsiocps.exe> []
<upxdnd><C:\WINDOWS\zmyumk.exe> []
<AVPSrv><C:\WINDOWS\uecapi.exe> []
<dbhlp32><C:\WINDOWS\dbhlp32.exe> []
<bincdwsa><C:\WINDOWS\bincdwsa.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<xlitbmqr><C:\WINDOWS\ltmrhhyo.exe> []
<mfchlp64><C:\WINDOWS\mfchlp64.exe> []
<fmsbbqi><C:\WINDOWS\fmsbbqi.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<cmdbcs><C:\WINDOWS\heitmp.exe> []
<WINSvr64><C:\WINDOWS\WINSvr64.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<huifitc><C:\WINDOWS\huifitc.exe> []
<mppds><C:\WINDOWS\mppds.EXE> []
<fmbiost><C:\WINDOWS\fmbiost.exe> []
<tciocp32><C:\WINDOWS\tciocp32.exe> []
<dndsioc><C:\WINDOWS\dndsioc.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<WinSysW><C:\WINDOWS\215366L.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosmhfp02.dll,msosdohs00.dll,msoscqit00.dll,msosmnsf00.dll,msosping00.dll,msosdrop00.dll,msosptfs00.dll,msosfmsq00.dll> 此项用ICEW修改键值为空

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys> []

修复IFEO印象劫持

删除服务：[Kerberos Key Distribution Centers / kkdc][Stopped/Auto Start]
<C:\WINDOWS\lsass.exe -netsvcs><N/A>
删除驱动服务：[ptfs / ptfs][Stopped/Auto Start]
<\??\C:\DOCUME~1\qiujian\LOCALS~1\Temp\tmp64.tmp><N/A>
[70801 / 70801][Running/]
<2 - 系统找不到指定的文件。
><N/A>

使用ICEW删除文件：
C:\WINDOWS\system32\msoscqit00.dll] [N/A, ]
[C:\WINDOWS\system32\msosping00.dll] [N/A, ]
[C:\WINDOWS\system32\msosdrop00.dll] [N/A, ]
[C:\WINDOWS\system32\msosfmsq00.dll] [N/A, ]
[C:\WINDOWS\system32\fmsiocps.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\dbhlp32.dlL] [N/A, ]
[C:\WINDOWS\system32\bincdwsa.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\wihmihoh.dll] [N/A, ]
[C:\WINDOWS\system32\mfchlp64.dll] [N/A, ]
[C:\WINDOWS\system32\msoscqit00.dll] [N/A, ]
[C:\WINDOWS\system32\dllcache\SXS.DLL] [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
[C:\WINDOWS\system32\fmsbbqi.dll] [N/A, ]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\WINSvr64.dll] [N/A, ]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\system32\huifitc.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\fmbiost.dll] [N/A, ]
[C:\WINDOWS\system32\tciocp32.dll] [N/A, ]
[C:\WINDOWS\system32\dndsioc.dll] [N/A, ]
[C:\WINDOWS\system32\msosping00.dll] [N/A, ]
[C:\WINDOWS\system32\msosdrop00.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\msosfmsq00.dll] [N/A, ]
[C:\WINDOWS\215366WL.DLL] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys] [N/A, ]
<fmsiocps><C:\WINDOWS\fmsiocps.exe> []
<upxdnd><C:\WINDOWS\zmyumk.exe> []
<AVPSrv><C:\WINDOWS\uecapi.exe> []
<dbhlp32><C:\WINDOWS\dbhlp32.exe> []
<bincdwsa><C:\WINDOWS\bincdwsa.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<xlitbmqr><C:\WINDOWS\ltmrhhyo.exe> []
<mfchlp64><C:\WINDOWS\mfchlp64.exe> []
<fmsbbqi><C:\WINDOWS\fmsbbqi.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<cmdbcs><C:\WINDOWS\heitmp.exe> []
<WINSvr64><C:\WINDOWS\WINSvr64.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<huifitc><C:\WINDOWS\huifitc.exe> []
<mppds><C:\WINDOWS\mppds.EXE> []
<fmbiost><C:\WINDOWS\fmbiost.exe> []
<tciocp32><C:\WINDOWS\tciocp32.exe> []
<dndsioc><C:\WINDOWS\dndsioc.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<WinSysW><C:\WINDOWS\215366L.exe> [N/A]

sanjingshou - 2008-4-22 12:46:00

使用软件时先修改软件的名称
如果还不能使用先用修复IFEO的软件修复下

另外你的问题中有猫叔置顶的问题你可以参考他的文章进行处理
尽量处理到可以启动杀软，再开启杀软杀一次病毒文件太多。。。

sanjingshou - 2008-4-22 12:47:00

猫叔的帖子：
http://forum.ikaka.com/topic.asp?board=109&artid=8444795

偌无骐誓 - 2008-4-22 13:11:00

谢谢我先试一下

偌无骐誓 - 2008-4-22 13:33:00

晕我发现我看不懂……

sanjingshou - 2008-4-22 13:45:00

SRENG使用请参考 UFO的：
http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1

sanjingshou - 2008-4-22 13:49:00

你的木马群可以参考斑竹的
http://forum.ikaka.com/topic.asp?board=109&artid=8443439

才看到 =。=

lqqk7 - 2008-4-22 14:09:00

也可以参考一下天月的帖子，各种工具的使用方法都比较详细，而且常用的基本都全了
http://forum.ikaka.com/topic.asp?board=28&artid=8442813

偌无骐誓 - 2008-4-24 4:19:00

谢谢我已经重装系统了…… 实在搞不定太厉害了

瑞星卡卡安全论坛