瑞星卡卡安全论坛

自刚才中了木马之后,模糊的按照天月大哥的方法做了下,感觉基本恢复了...只是开机的时候,提示安装瑞星,我就安装....然后出现  安装组件"瑞星通库"错误 ,选择是就会蓝屏...什么原因吖.天月大哥.

还有,刚才明明升级瑞星到20.46.10版本了...怎么还会有网页自己弹出来?麻烦下天月大哥讲解下噢.


新状况:重启动后,开机杀毒...怎么刚才明明写着清除成功的毒又出现了?上图先

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS)

附件: 病毒1.jpeg

补充.刚发生的事...重启后,发现防火墙还在的...但是听见"就"一声,我想打开防火墙看下,突然左下图标就没了...然后连续听见几声"就"就"声....就是给人攻击的声音...什么原因吖.天月大哥....

动手能力太差

我原贴说了，清理完，立即扫最新日志来

你记性哪去了？？？？？？？？:default4:


呵呵！！

……
这个问题……

那我现在重新启动扫描最新的上来可以吗?

还用再继续问

当然行啦

就不行，也得来日志啊

不来日志，鬼才知道你系统里到底还有些什么:default2:

上传了...

附件: SREngLOG杀毒重启再重启后最新报告.log (2008-5-27 16:45:24, 51.75 K)
该附件被下载次数 130

帅哥.还真是麻烦你噢...搞得我都不好意思了...
有空你看下噢...谢谢天月大帅哥了...如果是美女就谢谢美女...哈哈

还有上边那图是之前杀毒就杀过了的,重启后还有毒....

清理助手清理不了他们吗？

如果你确实按照我在8、9楼所说的，先将lsass.exe和mfc40u.dll两文件替换为正常的系统文件，然后重启清理，应该不会再这么严重了的啊

清理不了,清理了2次了....用windows清理助手...一清理就会弹出一些盘...本来我只有C,D,E,F,G盘的...然后会弹出..H,I,J,K什么的盘...这些全是其他盘的东西....

C:\WINDOWS\system32\dllcache文件夹  这个文件夹...怎么找都找不到吖...好象是没有.搜索也没...

只有system32 文件夹里面有lsass.exe和mfc40u.dll这2个文件.

做好准备：

这贴里下载那个我在27楼提供的清理临时文件工具ATF-Cleaner-cn ：http://bbs.ikaka.com/showtopic-8442813.aspx

W i n d o w s 清理助手 下载:http://www.arswp.com/

这里官网下载费尔木马强力清除助手
http://dl.filseclab.com/down/powerrmv.zip

将我说的操作方法复制粘贴到空记事本里，保存到你电脑里

然后，一定要断网处理，不然可能不能成功：
——————————————————————————————————————
用费尔木马强力清除助手,勾选“抑制文件再生”删除下面文件。

删除：
c:\windows\system32\anistio.dll
c:\windows\system32\bincdwsa.dll
c:\windows\system32\dbhlp32.dll
c:\windows\system32\dionpis.dll
c:\windows\system32\dndsioc.dll
c:\windows\system32\ensmidqv.dll
c:\windows\system32\fmbiost.dll
c:\windows\system32\fmsbbqi.dll
c:\windows\system32\fmsiocps.dll
c:\windows\system32\fmsjhif.dll
c:\windows\system32\gdyhyi.dll
c:\windows\system32\hefcndy.dll
c:\windows\system32\huifitc.dll
c:\windows\system32\isndntio.dll
c:\windows\system32\iyrwsg.dll
c:\windows\system32\mfchlp64.dll
c:\windows\system32\msoscqit01.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosfmsq00.dll
c:\windows\system32\msosjtio00.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\oftccw.dll
c:\windows\system32\ptshell.dll
c:\windows\system32\syscbcg.dll
c:\windows\system32\tciocp64.dll
c:\windows\system32\ticisms.dll
c:\windows\system32\winsvr64.dll
c:\windows\system32\wipicdec.dll
c:\windows\system32\yuiabct.dll
c:\windows\system32\boboturbo\boboturbo.exe
c:\windows\system32\b654dd9c.dll
c:\windows\anistio.exe
c:\windows\dionpis.exe
c:\windows\isndntio.exe
c:\windows\mfchlp64.exe
c:\windows\fmsjhif.exe
c:\windows\fmsbbqi.exe
c:\windows\dbhlp32.exe
c:\windows\ptshell.exe
c:\windows\huifitc.exe
c:\windows\bincdwsa.exe
c:\windows\fmbiost.exe
c:\windows\dndsioc.exe
c:\windows\yuiabct.exe
c:\windows\winsvr64.exe
c:\windows\fmsiocps.exe
c:\windows\ppmrgvhv.exe
c:\windows\tciocp64.exe
c:\windows\hefcndy.exe
c:\windows\ticisms.exe
c:\windows\wipicdec.exe
c:\windows\system32\d5fd4cf8.exe
c:\windows\temp\tmp9.tmp
c:\windows\temp\tmp18.tmp
c:\windows\temp\tmp1.tmp
c:\windows\system32\drivers\msosmsp2p32.sys
c:\windows\system32\drivers\p.sys
c:\windows\system32\drivers\guihelp.sys
c:\windows\temp\tmp3.tmp

不论删除结果如何，继续下面操作：
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找lsass.exe和mfc40u.dll文件，复制到C:\WINDOWS\system32文件夹里替换。
或者这贴里找相关文件下载。操作替换。
http://bbs.ikaka.com/showtopic-8501837.aspx

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
[anistio]    <C:\WINDOWS\anistio.exE>
[dionpis]    <C:\WINDOWS\dionpis.exe>
[isndntio]    <C:\WINDOWS\isndntio.exe>
[mfchlp64]    <C:\WINDOWS\mfchlp64.exe>
[fmsjhif]    <C:\WINDOWS\fmsjhif.exe>
[fmsbbqi]    <C:\WINDOWS\fmsbbqi.exe>
[dbhlp32]    <C:\WINDOWS\dbhlp32.exe>
[ptshell]    <C:\WINDOWS\ptshell.exe>
[huifitc]    <C:\WINDOWS\huifitc.exe>
[bincdwsa]    <C:\WINDOWS\bincdwsa.exe>
[fmbiost]    <C:\WINDOWS\fmbiost.exe>
[dndsioc]    <C:\WINDOWS\dndsioc.exe>
[yuiabct]    <C:\WINDOWS\yuiabct.exe>
[WINSvr64]    <C:\WINDOWS\WINSvr64.exe>
[fmsiocps]    <C:\WINDOWS\fmsiocps.exe>
[ipnpwmqr]    <C:\WINDOWS\ppmrgvhv.exe>
[tciocp64]    <C:\WINDOWS\tciocp64.exe>
[hefcndy]    <C:\WINDOWS\hefcndy.exe>
[ticisms]    <C:\WINDOWS\ticisms.exe>
[wipicdec]    <C:\WINDOWS\wipicdec.exe>

在扫日志的SRENG工具》启动项目》注册表》里将  [AppInit_DLLs] 的“值”项编辑清空

—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，或将启动类型改为“Disabled”

[51E0B1C4 / 51E0B1C4]    <C:\WINDOWS\system32\D5FD4CF8.EXE -d>
[BoBoTurbo / BoBoTurbo]    <C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe>

————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”

[fmsq / fmsq]    <\??\C:\WINDOWS\TEMP\tmp9.tmp>
[jtio / jtio]    <\??\C:\WINDOWS\TEMP\tmp18.tmp>
[mhfp / mhfp]    <\??\C:\WINDOWS\TEMP\tmp1.tmp>
[msp2p32 / msp2p32]    <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys>
[p / p]    <\??\C:\WINDOWS\system32\drivers\p.sys>
[sysHostSvc / sysHostSvc]    <\??\C:\WINDOWS\system32\drivers\GuiHelp.sys>
[zftp / zftp]    <\??\C:\WINDOWS\TEMP\tmp3.tmp>
————————————————————————————————————
再重启电脑，反复检查，操作的结果，
————————————————————————————————————
再重启电脑，
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
用W i n d o w s 清理助手 ，清理你那系统。

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手，清理你那系统。
记得打打系统漏洞补丁

天月大帅哥...爱死你了....按照刚才方法试了一次....用清理助手发现,只有4个可疑文件...比刚才的20个少多了...然后瑞星能正常打开了....QQ也不用软键盘来登陆了(之前用键盘不能登陆,要用软键盘)...现在应该没什么大碍了..如果你不介意...来亲个..么么...哈哈

你还是少开心

再扫个最新日志来看看

我那贴已用你两次求助的贴子的日志合在一起，弄了个新的了。

http://bbs.ikaka.com/showtopic-8504511-2.aspx

11楼。

不好意思噢,下午等了20分钟看你没回复,以为没事了,就没理了

我现在上传,开了QQ和MSN....不知道是否有效....如果没效,我明天再上传一份噢

附件: SREngLOG.log (2008-5-28 0:21:56, 41.52 K)
该附件被下载次数 119

官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip
C:\WINDOWS\system32\drivers\p.sys

这个没有删除
其他没发现什么

这几个项目改为Disabled
服务
[51E0B1C4 / 51E0B1C4][Stopped/Auto Start]
  <C:\WINDOWS\system32\D5FD4CF8.EXE -d><N/A>

驱动
[p / p][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\p.sys><N/A>


最后清理
下载清理系统临时文件和IE临时文件夹工具,全选所有项目，点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

这三个注册表残留的东西，是些虾米东西呢？
怎舍不得删呢？

启动项目
注册表
    <ipnpwmqr><C:\WINDOWS\ppmrgvhv.exe>  [N/A]

==================================
服务
[51E0B1C4 / 51E0B1C4][Stopped/Auto Start]
  <C:\WINDOWS\system32\D5FD4CF8.EXE -d><N/A>

==================================
驱动程序
[p / p][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\p.sys><N/A>

<ipnpwmqr><C:\WINDOWS\ppmrgvhv.exe>  [N/A]
漏看

希望楼主能及时看到，清理掉

谢谢２位，今晚回去就删

这个病毒我也中过，好象说这病毒是在启动的时候就跟到你的，要删了什么东西在到安全模式去杀才杀得死，具体的我也忘了。。。