新问题木马 bbs.ikaka.com

QQ254977071 - 2008-5-7 15:56:00

应该是线上游戏窃取者````

怎么杀啊瑞星的最新版本杀他不了杀完重新启动又有
安全模式也是一样的

这是瑞星杀毒后的结果

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ )

QQ254977071 - 2008-5-7 15:56:00

病毒名称处理结果发现日期查杀方式路径文件病毒来源
AdWare.Win32.Mnless.ab 删除成功 2008-5-1 14:34 快捷方式查杀 C:\WINDOWS\system32 FleshCatcher.dll>>upx_c 本机
Backdoor.Win32.RWX.o 删除成功 2008-5-3 13:00 快捷方式查杀 H: autorun.pif 本机
Worm.Win32.PaBug.gy 删除成功 2008-5-6 18:46 快捷方式查杀 C:\Program Files\Internet Explorer\PLUGINS Nt_Sys32.Sys 本机
Trojan.DL.Win32.Undef.ia 删除成功 2008-5-6 19:07 手动查杀 C:\WINDOWS\system32 .exe>>upack0.39 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-6 19:13 手动查杀 C:\WINDOWS\system32\drivers XNGAnti.sys 本机
Worm.Win32.PaBug.gy 删除成功 2008-5-6 22:24 快捷方式查杀 C:\Program Files\Internet Explorer\PLUGINS Nt_Sys32.Sys 本机
Trojan.PSW.Win32.GameOL.je 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 115.exe 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 118.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOL.iy 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 123.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 130.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 136.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xa 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 14.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOL.je 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 15.exe 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 18.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOL.iy 删除成功 2008-5-6 22:49 快捷方式查杀 C:\Program Files 23.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:50 快捷方式查杀 C:\Program Files 25.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:50 快捷方式查杀 C:\Program Files 30.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:50 快捷方式查杀 C:\Program Files 36.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xa 删除成功 2008-5-6 22:50 快捷方式查杀 C:\Program Files 4.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.xb 删除成功 2008-5-6 22:50 快捷方式查杀 C:\Program Files 7.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOL.je 删除成功 2008-5-6 23:25 快捷方式查杀 C:\Program Files 15.exe 本机
Worm.Win32.PaBug.gy 删除成功 2008-5-6 23:25 快捷方式查杀 C:\Program Files 20.exe>>upx_c>>FILE 本机
Trojan.IMMSG.Win32.TBMSG.lj 删除成功 2008-5-6 23:25 快捷方式查杀 C:\Program Files 24.exe>>upack0.39 本机
Trojan.PSW.Win32.SunOnline.nt 删除成功 2008-5-6 23:25 快捷方式查杀 C:\Program Files 5.exe>>upack0.39>>82>>upack0.34 本机
Worm.Win32.PaBug.gy 删除成功 2008-5-6 23:26 快捷方式查杀 C:\Program Files\Internet Explorer\PLUGINS Nt_Sys32.Sys 本机
Trojan.IMMSG.Win32.TBMSG.lj 删除成功 2008-5-6 23:51 快捷方式查杀 C:\WINDOWS\system32 57489F89.EXE>>upack0.39 本机
Trojan.Win32.Undef.fza 删除成功 2008-5-6 23:51 快捷方式查杀 C:\WINDOWS\system32 BD006B0.DLL 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 0:24 快捷方式查杀 C:\WINDOWS\system32\drivers ReloadAnti.sys 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 0:24 快捷方式查杀 C:\WINDOWS\system32\drivers XNGAnti.sys 本机
Trojan.PSW.Win32.GameOL.in 重新启动计算机后删除文件 2008-5-7 0:24 快捷方式查杀 C:\WINDOWS\system32 fsrgeb.dll 本机
Trojan.PSW.Win32.GamesOnline.wl 重新启动计算机后删除文件 2008-5-7 0:24 快捷方式查杀 C:\WINDOWS\system32 hhrdxd.dll 本机
Trojan.PSW.Win32.GameOL.ju 重新启动计算机后删除文件 2008-5-7 0:24 快捷方式查杀 C:\WINDOWS\system32 hplafx.dll 本机
Trojan.PSW.Win32.GameOL.in 重新启动计算机后删除文件 2008-5-7 0:25 快捷方式查杀 C:\WINDOWS\system32 jdsaex.dll 本机
Trojan.PSW.Win32.GameOL.in 重新启动计算机后删除文件 2008-5-7 0:25 快捷方式查杀 C:\WINDOWS\system32 jgnomr.dll 本机
Trojan.PSW.Win32.GameOL.ju 删除成功 2008-5-7 0:25 快捷方式查杀 C:\WINDOWS\system32 juquvh.dll 本机
Trojan.PSW.Win32.GameOL.ju 重新启动计算机后删除文件 2008-5-7 0:25 快捷方式查杀 C:\WINDOWS\system32 mpdcty.dll 本机
Trojan.PSW.Win32.OnlineGames.ged 重新启动计算机后删除文件 2008-5-7 0:26 快捷方式查杀 C:\WINDOWS\system32 mxavpw0.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOL.muo 重新启动计算机后删除文件 2008-5-7 0:26 快捷方式查杀 C:\WINDOWS\system32 pedadt.dll>>upack0.34 本机
Trojan.PSW.Win32.GamesOnline.wd 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 sqavpw0.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOL.ju 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ssofkg.dll 本机
Trojan.PSW.Win32.SunOnline.nt 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 SysWoWa8.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOL.in 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 tfsdmz.dll 本机
Trojan.PSW.Win32.GameOL.hs 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 tinvul.dll 本机
Trojan.PSW.Win32.GamesOnline.vy 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ttDXYDXY1014.dll>>upack0.34 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ttDXYDXY1014.exe>>upack0.39>>65 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ttDXYDXY1014.exe>>upack0.39 本机
Trojan.PSW.Win32.GamesOnline.vy 重新启动计算机后删除文件 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ttNNBNNB1056.dll>>upack0.34 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ttNNBNNB1056.exe>>upack0.39>>65 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 0:27 快捷方式查杀 C:\WINDOWS\system32 ttNNBNNB1056.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOL.iq 重新启动计算机后删除文件 2008-5-7 0:28 快捷方式查杀 C:\WINDOWS\system32 wfrdvq.dll 本机
Trojan.PSW.Win32.GameOL.ju 重新启动计算机后删除文件 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\system32 wqvlrj.dll 本机
Trojan.PSW.Win32.GameOL.hz 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\system32 yuiabct.dll 本机
Trojan.PSW.Win32.GameOL.gy 重新启动计算机后删除文件 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\system32 zjydcx.dll 本机
Trojan.PSW.Win32.GamesOnline.wu 重新启动计算机后删除文件 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp dat2B.tmp>>upack0.34 本机
Trojan.PSW.Win32.GamesOnline.wu 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp dat35.tmp>>upack0.34 本机
Trojan.PSW.Win32.GamesOnline.wu 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp dat38.tmp>>upack0.34 本机
Trojan.PSW.Win32.GameOL.iq 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp ~f14.tmp 本机
Trojan.PSW.Win32.GameOL.ju 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp ~f15.tmp 本机
Trojan.PSW.Win32.GameOL.iq 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp ~f2F.tmp 本机
Trojan.PSW.Win32.GameOL.ju 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp ~f36.tmp 本机
Trojan.PSW.Win32.GameOL.ju 删除成功 2008-5-7 0:29 快捷方式查杀 C:\WINDOWS\Temp ~f38.tmp 本机
Trojan.PSW.Win32.GameOL.hz 删除成功 2008-5-7 0:30 快捷方式查杀 C:\WINDOWS yuiabct.exe>>fsg2.0>>65 本机
AdWare.Win32.Agent.zvn 需要解压缩后杀毒 2008-5-7 3:18 快捷方式查杀 E:\游戏\浩方对战平台 Yayad4HaoFang070112.exe>>AdCore.dll 本机
Adware.Win32.AdPop.a 需要解压缩后杀毒 2008-5-7 3:18 快捷方式查杀 E:\游戏\浩方对战平台 Yayad4HaoFang070112.exe>>AdPop.exe 本机
Trojan.PSW.Win32.GameOL.je 删除成功 2008-5-7 11:42 快捷方式查杀 C:\Program Files 15.exe 本机
Trojan.PSW.Win32.SunOnline.nt 删除成功 2008-5-7 11:42 快捷方式查杀 C:\Program Files 5.exe>>upack0.39>>82>>upack0.34 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 11:57 快捷方式查杀 C:\WINDOWS\system32\drivers ReloadAnti.sys 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 11:57 快捷方式查杀 C:\WINDOWS\system32\drivers XNGAnti.sys 本机
Trojan.PSW.Win32.GamesOnline.wl 重新启动计算机后删除文件 2008-5-7 11:58 快捷方式查杀 C:\WINDOWS\system32 hhrdxd.dll 本机
Trojan.PSW.Win32.GameOL.ju 重新启动计算机后删除文件 2008-5-7 11:58 快捷方式查杀 C:\WINDOWS\system32 mpdcty.dll 本机
Trojan.PSW.Win32.GameOL.ju 重新启动计算机后删除文件 2008-5-7 12:00 快捷方式查杀 C:\WINDOWS\system32 ssofkg.dll 本机
Trojan.PSW.Win32.SunOnline.nt 重新启动计算机后删除文件 2008-5-7 12:00 快捷方式查杀 C:\WINDOWS\system32 SysWoWa8.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOL.hs 重新启动计算机后删除文件 2008-5-7 12:00 快捷方式查杀 C:\WINDOWS\system32 tinvul.dll 本机
Trojan.PSW.Win32.GamesOnline.vy 重新启动计算机后删除文件 2008-5-7 12:00 快捷方式查杀 C:\WINDOWS\system32 ttDXYDXY1014.dll>>upack0.34 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 12:00 快捷方式查杀 C:\WINDOWS\system32 ttDXYDXY1014.exe>>upack0.39>>65 本机
RootKit.Win32.XNGAnti.a 删除成功 2008-5-7 12:00 快捷方式查杀 C:\WINDOWS\system32 ttDXYDXY1014.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOL.iq 重新启动计算机后删除文件 2008-5-7 12:01 快捷方式查杀 C:\WINDOWS\system32 wfrdvq.dll 本机
Trojan.PSW.Win32.GameOL.gy 重新启动计算机后删除文件 2008-5-7 12:01 快捷方式查杀 C:\WINDOWS\system32 zjydcx.dll 本机
Trojan.PSW.Win32.GamesOnline.wu 重新启动计算机后删除文件 2008-5-7 12:01 快捷方式查杀 C:\WINDOWS\Temp dat10.tmp>>upack0.34 本机
Trojan.PSW.Win32.GameOL.iq 重新启动计算机后删除文件 2008-5-7 12:02 快捷方式查杀 C:\WINDOWS\system32 wfrdvq.dll 本机
Trojan.PSW.Win32.GameOL.iq 重新启动计算机后删除文件 2008-5-7 12:03 快捷方式查杀 C:\WINDOWS\system32 wfrdvq.dll 本机

天月来了 - 2008-5-7 16:03:00

下载清理系统临时文件和IE临时文件夹工具,全选所有项目，点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe

这里下载 W i n d o w s 清理助手，清理你那系统。
http://www.arswp.com/

———————————————————————————————————————————————
扫SRENG日志发这论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREngLdr.EXE ((将SREngLdr.EXE改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

QQ254977071 - 2008-5-7 16:43:00

引用:

原帖由 天月来了 于 2008-5-7 16:03:00 发表
下载清理系统临时文件和IE临时文件夹工具,全选所有项目，点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe

这里下载 W i n d o w s 清理助手，清理你那系统。
http://www.arswp.com/

————————————————

附件: SREngLOG.log

天月来了 - 2008-5-7 17:30:00

从下面看，你的系统文件已被病毒恶意替换。
==================================
正在运行的进程
[PID: 732][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cdfview.dll] [N/A, ]

你必须这样做：
去C:\WINDOWS\system32\dllcache文件夹里找services.exe文件和cdfview.dll文件，复制到C:\WINDOWS\system32文件夹里替换。

替换前先在任务管理器里结束services.exe进程。

必须替换，否则没法解决问题，如果在C:\WINDOWS\system32\dllcache文件夹里找不到，就得去正常的相同系统里找文件复制了。

如果实在不行，可以去这里看看如何用PE系统操作相关的东西：
利用PE应付最近流行的感染系统文件病毒
http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=8502100#8619474
————————————————————————————————————
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\TEMP\tmp3B.tmp
C:\WINDOWS\System32\drivers\qgqfkf.sys
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\TEMP\tmpA.tmp
C:\WINDOWS\system32\fiosectc.dll
C:\WINDOWS\system32\anistio.dll
C:\WINDOWS\system32\SysWoWa8.dll
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<TudouVAStart><; > [N/A]
<anistio><C:\WINDOWS\anistio.exE> []
<{4502C140-808F-40B6-8522-4BC4230CAEF2}><C:\WINDOWS\system32\mpdcty.dll> [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将下面项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosmhfp00.dll SysWoWa8.dll> [N/A]

就是将 <AppInit_DLLs><msosmhfp00.dll SysWoWa8.dll> [N/A] 的“值”项编辑置空为：

<AppInit_DLLs><> [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[ping / ping][Stopped/Auto Start]
<\??\C:\WINDOWS\TEMP\tmp3B.tmp><N/A>

[qgqfkf / qgqfkf][Stopped/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\qgqfkf.sys><N/A>

[msfpfis64 / msfpfis64][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>

[dohs / dohs][Stopped/Auto Start]
<\??\C:\WINDOWS\TEMP\tmpA.tmp><N/A>
————————————————————————————————————
再重启电脑，反复检查，操作相关，

————————————————————————————————————
再重启电脑，

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.qispace.com.cn/attachment.php?fid=34

用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手，清理你那系统。
记得打打系统漏洞补丁

QQ254977071 - 2008-5-7 17:35:00

够复杂的啊~~~~~~~~~~~

QQ254977071 - 2008-5-7 17:37:00

services.exe 这个是关键进程啊怎么关啊?

QQ254977071 - 2008-5-7 18:05:00

搞不定｀｀｀｀

天月来了 - 2008-5-7 18:10:00

PE系统下去搞

瑞星卡卡安全论坛