瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » [求助]瑞星,360都运行不了
rushiqi - 2008-5-5 14:26:00
觉得问题很多,自己没办法解决,请帮忙看一下,谢谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log
lqqk7 - 2008-5-5 14:32:00
把 c:\windows\system32\lsass.exe 这个文件压缩,然后作为附件上传
lqqk7 - 2008-5-5 14:45:00
楼主人呢?找到c:\windows\system32\lsass.exe了吗,方便的话把c:\windows\system32\mfc40u.dll也一起压缩,上传
rushiqi - 2008-5-5 14:49:00
不好意思,稍等
rushiqi - 2008-5-5 14:55:00
你看看是不是这个?







文件已收到,怀疑此文件已经被病毒感染,为避免被别有用心之人利用,附件删除  ——  by lqqk7
lqqk7 - 2008-5-5 15:02:00
果不其然,你的这个lsass.exe是被病毒修改过的了
你的lsass.exe的MD5:55b6f249431ed02a1c6a8e045115079c
xp sp2系统正常lsass.exe的MD5:891600e79c38249028f1bacc1c6cc5d2

你把c:\windows\system32\mfc40u.dll也压缩发来
rushiqi - 2008-5-5 15:12:00
谢谢







文件已收到,怀疑此文件已经被病毒感染,为避免被别有用心之人利用,附件删除  ——  by lqqk7
lqqk7 - 2008-5-5 15:17:00
mfc40u.dll也是别病毒改过的了,这点从日志中就能看出来了

你的mfc40u.dll的MD5:d125ad2c2e2613a34619dd5a9bd92d89
xp sp2系统正常mfc40u.dll的MD5:413e8c9a856d60edc25a7d95a79bbfb9

稍后给你处理方法,因为系统核心文件被修改,所以操作会有一定的风险,搞不好会系统瘫痪.....
要有心里准备,c盘如有重要数据建议你提前备份,如果熟悉pe的话最好备一个pe工具
rushiqi - 2008-5-5 15:23:00
朋友的电脑,PE工具我从没用过,555...
lqqk7 - 2008-5-5 15:24:00
先下载附件,附件是xp sp2系统正常的lsass.exe和mfc40u.dll

这两个文件我已经改名为lsass.exe.bak和mfc40u.dll.bak

你解压缩后直接把这两个文件复制到 c:\windows\system32

直接复制就行,不要改名






附件: xp sp2.zip
lqqk7 - 2008-5-5 15:27:00
我会尽力把每一步写的详细,做完了告诉我
rushiqi - 2008-5-5 15:52:00
不好意思,刚才有点事情.复制好了,请继续,谢谢!
lqqk7 - 2008-5-5 15:55:00
先下载工具:
XDelBox下载:http://www.dodudou.com/down/  打开后选择【原创软件】,下载XDelBox1.7支持奥运版。
———————————————————————————————————————
下载完成后务必断开网络链接后再进行以下操作;
———————————————————————————————————————
使用XDelBox删除以下文件:
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,不要勾选“抑制再生”,勾选“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\ntldr.exe
c:\autorun.inf
d:\ntldr.exe
d:\autorun.inf
e:\ntldr.exe
e:\autorun.inf
f:\ntldr.exe
f:\autorun.inf
c:\windows\fonts\syn00-e0-4d-a6-c5-98\system\smss.exe
c:\windows\temp\_qosec29.msi
c:\program files\java\j2re1.4.2_08\bin\jusched.exe
c:\windows\system32\msoscqit00.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosfmsq00.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\dnteh.dll
c:\windows\system32\fdght.dll
c:\windows\system32\xdndn.dll
c:\windows\system32\d3d9_32.dll
c:\windows\system32\mfc40u.dll
c:\program files\internet explorer\plugins\winsys16.sys
c:\windows\system32\78xx0icp.dll
c:\windows\system32\anistio.dll
c:\windows\system32\bincdwsa.dll
c:\windows\system32\dbhlp32.dll
c:\windows\system32\dqabcabc1031.dll
c:\windows\system32\dqbaibai1067.dll
c:\windows\system32\dqdabdab1071.dll
c:\windows\system32\dqdlqdlq1007.dll
c:\windows\system32\dqezzezz1056.dll
c:\windows\system32\dqsadsad1041.dll
c:\windows\system32\dqwlvwlv1014.dll
c:\windows\system32\fiosectc.dll
c:\windows\system32\fmbiost.dll
c:\windows\system32\fmsjhif.dll
c:\windows\system32\huifitc.dll
c:\windows\system32\oohxbbyt.dll
c:\windows\system32\rzysdhbx.dll
c:\windows\system32\sperls.dll
c:\windows\system32\ticisms.dll
c:\windows\system32\tthadhad1071.dll
c:\windows\system32\ttkafkaf1072.dll
c:\windows\system32\ttmysmys1053.dll
c:\windows\system32\ttnnbnnb1056.dll
c:\windows\system32\winsvr64.dll
c:\windows\system32\yuiabct.dll
c:\windows\system32\drivers\3g5p036.sys
c:\windows\system32\drivers\3xh52s0.sys
c:\docume~1\admini~1\locals~1\temp\tmpd1.tmp
c:\windows\system32\drivers\pfnerem.sys
c:\windows\system32\drivers\obj2.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\admini~1\locals~1\temp\tmpdb.tmp
c:\windows\temp\tmp1.tmp
c:\windows\temp\tmp2b.tmp
c:\docume~1\admini~1\locals~1\temp\tmpcf.tmp
c:\docume~1\admini~1\locals~1\temp\tmpe1.tmp
c:\windows\temp\~wxp2ins.921.tmp
c:\program files\internet explorer\plugins\nt_sys32.sys
c:\documents and settings\all users\application data\microsoft\pctools\pctools.dll
C:\WINDOWS\Fonts\syn00-E0-4D-A6-C5-98\system\smss.exe
C:\WINDOWS\anistio.exE
C:\WINDOWS\fiosectc.exe
C:\WINDOWS\gwsmhxuq.exe
C:\WINDOWS\dbhlp32.exe
C:\WINDOWS\fmsjhif.exe
C:\WINDOWS\ticisms.exe
C:\WINDOWS\bincdwsa.exe
C:\WINDOWS\WINSvr64.exe
C:\WINDOWS\yuiabct.exe
C:\WINDOWS\huifitc.exe
C:\WINDOWS\fmbiost.exe
C:\WINDOWS\DXDLG.exe
C:\WINDOWS\system32\DXDLG.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\LYLeador.exe
C:\WINDOWS\system32\ttHADHAD1071.dll
C:\WINDOWS\system32\dqABCABC1031.dll
C:\WINDOWS\system32\oohxbbyt.dll
C:\WINDOWS\system32\ttMYSMYS1053.dll
C:\WINDOWS\system32\ttKAFKAF1072.dll
C:\WINDOWS\system32\ttNNBNNB1056.dll
C:\WINDOWS\system32\dqEZZEZZ1056.dll
C:\WINDOWS\system32\dqDABDAB1071.dll
C:\WINDOWS\system32\dqSADSAD1041.dll
C:\WINDOWS\system32\dqWLVWLV1014.dll
C:\WINDOWS\system32\dqDLQDLQ1007.dll
C:\WINDOWS\system32\dqBAIBAI1067.dll
c:\windows\system32\lsass.exe
c:\windows\system32\mfc40u.dll
dos#ren c:\windows\system32\lsass.exe.bak lsass.exe
dos#ren c:\windows\system32\mfc40u.dll.bak mfc40u.dll
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启进入Windows系统
lqqk7 - 2008-5-5 15:57:00
补一张图吧

rushiqi - 2008-5-5 16:12:00
工具下载完后,把文件复制过去,要点立刻重启删除时提示:
cannot create file "c:\windows\system~1\system32\drivers\safe4.sys"系统找不到指定的路径
无法重启删除
lqqk7 - 2008-5-5 16:21:00
汗....难不成这东西还阻止xdelbox释放驱动...........

下载费尔木马强力清除助手:http://dl.filseclab.com/down/powerrmv.zip
使用费尔木马强力清除助手删除以下文件:
使用方法:打开费尔木马强力清除助手,选择“清除,并抑制文件再次生成”,复制下面分隔线中的文件路径,粘贴到费尔木马强力清除助手的文件名框中,点击“开始”。
———————————————————————————————————————
c:\ntldr.exe
c:\autorun.inf
d:\ntldr.exe
d:\autorun.inf
e:\ntldr.exe
e:\autorun.inf
f:\ntldr.exe
f:\autorun.inf
c:\windows\fonts\syn00-e0-4d-a6-c5-98\system\smss.exe
c:\windows\temp\_qosec29.msi
c:\program files\java\j2re1.4.2_08\bin\jusched.exe
c:\windows\system32\msoscqit00.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosfmsq00.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\dnteh.dll
c:\windows\system32\fdght.dll
c:\windows\system32\xdndn.dll
c:\windows\system32\d3d9_32.dll
c:\windows\system32\mfc40u.dll
c:\program files\internet explorer\plugins\winsys16.sys
c:\windows\system32\78xx0icp.dll
c:\windows\system32\anistio.dll
c:\windows\system32\bincdwsa.dll
c:\windows\system32\dbhlp32.dll
c:\windows\system32\dqabcabc1031.dll
c:\windows\system32\dqbaibai1067.dll
c:\windows\system32\dqdabdab1071.dll
c:\windows\system32\dqdlqdlq1007.dll
c:\windows\system32\dqezzezz1056.dll
c:\windows\system32\dqsadsad1041.dll
c:\windows\system32\dqwlvwlv1014.dll
c:\windows\system32\fiosectc.dll
c:\windows\system32\fmbiost.dll
c:\windows\system32\fmsjhif.dll
c:\windows\system32\huifitc.dll
c:\windows\system32\oohxbbyt.dll
c:\windows\system32\rzysdhbx.dll
c:\windows\system32\sperls.dll
c:\windows\system32\ticisms.dll
c:\windows\system32\tthadhad1071.dll
c:\windows\system32\ttkafkaf1072.dll
c:\windows\system32\ttmysmys1053.dll
c:\windows\system32\ttnnbnnb1056.dll
c:\windows\system32\winsvr64.dll
c:\windows\system32\yuiabct.dll
c:\windows\system32\drivers\3g5p036.sys
c:\windows\system32\drivers\3xh52s0.sys
c:\docume~1\admini~1\locals~1\temp\tmpd1.tmp
c:\windows\system32\drivers\pfnerem.sys
c:\windows\system32\drivers\obj2.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\admini~1\locals~1\temp\tmpdb.tmp
c:\windows\temp\tmp1.tmp
c:\windows\temp\tmp2b.tmp
c:\docume~1\admini~1\locals~1\temp\tmpcf.tmp
c:\docume~1\admini~1\locals~1\temp\tmpe1.tmp
c:\windows\temp\~wxp2ins.921.tmp
c:\program files\internet explorer\plugins\nt_sys32.sys
c:\documents and settings\all users\application data\microsoft\pctools\pctools.dll
C:\WINDOWS\Fonts\syn00-E0-4D-A6-C5-98\system\smss.exe
C:\WINDOWS\anistio.exE
C:\WINDOWS\fiosectc.exe
C:\WINDOWS\gwsmhxuq.exe
C:\WINDOWS\dbhlp32.exe
C:\WINDOWS\fmsjhif.exe
C:\WINDOWS\ticisms.exe
C:\WINDOWS\bincdwsa.exe
C:\WINDOWS\WINSvr64.exe
C:\WINDOWS\yuiabct.exe
C:\WINDOWS\huifitc.exe
C:\WINDOWS\fmbiost.exe
C:\WINDOWS\DXDLG.exe
C:\WINDOWS\system32\DXDLG.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\LYLeador.exe
C:\WINDOWS\system32\ttHADHAD1071.dll
C:\WINDOWS\system32\dqABCABC1031.dll
C:\WINDOWS\system32\oohxbbyt.dll
C:\WINDOWS\system32\ttMYSMYS1053.dll
C:\WINDOWS\system32\ttKAFKAF1072.dll
C:\WINDOWS\system32\ttNNBNNB1056.dll
C:\WINDOWS\system32\dqEZZEZZ1056.dll
C:\WINDOWS\system32\dqDABDAB1071.dll
C:\WINDOWS\system32\dqSADSAD1041.dll
C:\WINDOWS\system32\dqWLVWLV1014.dll
C:\WINDOWS\system32\dqDLQDLQ1007.dll
C:\WINDOWS\system32\dqBAIBAI1067.dll
———————————————————————————————————————

先用费尔去删,能删多少删多少,注意上面的文件列表中与之前那贴的文件列表有区别,没有最后4行!
rushiqi - 2008-5-5 16:28:00
已用费尔清除了一下,下面该怎么做?
lqqk7 - 2008-5-5 16:30:00
然后再去按13楼的操作试试看,试试现在xdelbox能不能用了
天月来了 - 2008-5-5 16:33:00
和我一样
无奈时就费尔上。
能删多少就删多少

一般我也很想再要用户断网操作。

或者防火墙里能阻止相关非正常的程序访问网络等等。

现在处理病毒累啊
lqqk7 - 2008-5-5 16:35:00


引用:
原帖由 天月来了 于 2008-5-5 16:33:00 发表
和我一样
无奈时就费尔上。
能删多少就删多少

一般我也很想再要用户断网操作。

或者防火墙里能阻止相关非正常的程序访问网络等等。

现在处理病毒累啊


道高一尺魔高一丈啊,原来是破坏boot.sys,1.7版改成随机释放驱动以后,病毒干脆就不让你释放了........
较量啊,永无止境啊
苦了求助者们了....
天月来了 - 2008-5-5 16:41:00
实际上动手能力强的,只用冰刃已可以在不关机的情况下删除完所有一切了
同时也可以用冰刃替换完所有需要替换的系统文件。
很疯狂的。:default6:
豪斯登堡新郎 - 2008-5-5 16:42:00
:kaka1:

还是要回到PE喽!!!
lqqk7 - 2008-5-5 16:45:00


引用:
原帖由 天月来了 于 2008-5-5 16:41:00 发表
实际上动手能力强的,只用冰刃已可以在不关机的情况下删除完所有一切了
同时也可以用冰刃替换完所有需要替换的系统文件。
很疯狂的。:default6: 

就把误操作啊,用xdelbox批量去删还方便些
主要还是看求助者的操作能力了
rushiqi - 2008-5-5 16:51:00
晕死,不能开机了
开机时提示:应用程序正常初始化(0X0000ba)失败,请单击确定,终止应用程序.
好象还有一次提到LSASS.EXE那个程序也失败:default11:
lqqk7 - 2008-5-5 16:55:00
:kaka7: 安全模式呢?完整的提示是什么?
天月来了 - 2008-5-5 17:05:00
我怀疑这次的病毒恶搞的不只是一点地方。
可能很多地方都被恶搞了

好象专门对付各家论坛里这半年里常用的处理手段

感觉这次一旦使用平常的删除删除再删除的方法,必定死机。
这得设法找到这次的木马下载地址,全部实机测试才能知道到底哪出问题了。
lqqk7 - 2008-5-5 17:08:00


引用:
原帖由 天月来了 于 2008-5-5 17:05:00 发表
我怀疑这次的病毒恶搞的不只是一点地方。
可能很多地方都被恶搞了

好象专门对付各家论坛里这半年里常用的处理手段

感觉这次一旦使用平常的删除删除再删除的方法,必定死机。
这得设法找到这次的木马下载地址,全部实机测试才能知道到底哪出问题了。

看那个报错,可能和某个系统dll文件有关,不知道完整的提示是什么
lqqk7 - 2008-5-5 17:14:00
可能他的services.exe也有问题
rushiqi - 2008-5-5 17:17:00
完整的提示就是:
应用程序正常初始化(0X0000ba)失败,请单击确定,终止应用程序.
按F8也进不了安全模式:default8:
lqqk7 - 2008-5-5 17:30:00
报错提示的标题栏写的是什么?
就是图中红框里面是什么?
12
查看完整版本: [求助]瑞星,360都运行不了
© 2000 - 2026 Rising Corp. Ltd.