瑞星卡卡安全论坛

额,怎么看呢!

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 1.1.4322)

附件: SREngLOG.log

确实中毒
愿意重装系统并全格么？
等会他们给你看吧
我下班了（自己的班，不是卡卡论坛的）别误会。:default3:

额..恩,你先下吧..
其他斑竹在没啊,帮偶看下~

天月上什么班啊！！在班上看卡卡论坛，不怕被发现？:default6:

彻底卸载Yahoo!的所有东西。

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\zgfdet.dll
C:\WINDOWS\system32\zrexgx.dll
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\cedafb.dll
C:\WINDOWS\system32\jdsaex.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe
C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmpF.tmp
C:\WINDOWS\system32\drivers\Ctrl2cap.sys
C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmp7.tmp
C:\WINDOWS\system32\drivers\msosmsp2p32.sys
C:\WINDOWS\system32\msoscqit01.dll
c:\net.exe

不论删除结果如何，继续下面操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将下面项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><msoscqit01.dll>  []

就是将  <AppInit_DLLs><msoscqit01.dll>  [] 的“值”项编辑置空为：

    <AppInit_DLLs><>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  [N/A]
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  [N/A]
    <{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zgfdet.dll>  [N/A]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zrexgx.dll>  [N/A]
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  [N/A]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  [N/A]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll>  [N/A]
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  [N/A]
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  [N/A]
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [N/A]
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll>  [N/A]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll>  [N/A]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，
==================================
服务
[BoBoTurbo / BoBoTurbo][Running/Auto Start]
  <C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe><广州易播信息科技有限公司>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmpF.tmp><N/A>

[Ctrl2cap / Ctrl2cap][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\Ctrl2cap.sys><N/A>

[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmp7.tmp><N/A>

[msp2p32 / msp2p32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》文件关联》修复文件关联

—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，
————————————————————————————————————
再重启电脑，
升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手，清理你那系统。
记得打打系统漏洞补丁

操作清理完以后，去卸载瑞星杀毒软件，准备重装升级，全盘再杀毒试试

保险起见，去试试江民或金山的先试吧。

否则要是瑞星再满盘杀光，那可要命了。

没有杀毒的样本了 所以只能简单写写了：
利用XdelBOX删除以下文件：
C:\WINDOWS\system32\msoscqit01.dll 
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\zgfdet.dll
C:\WINDOWS\system32\zrexgx.dll
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\cedafb.dll
C:\WINDOWS\system32\jdsaex.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\jhrcar.dll
C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmpF.tmp
C:\WINDOWS\system32\drivers\Ctrl2cap.sys
C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmp7.tmp
C:\WINDOWS\system32\drivers\msosmsp2p32.sys
D:\下载\8k8e_sww060\SWW.sys
F:\新建文件夹\Qmacro\Qmacro\winio.sys

在SREng里面 的启动项目——注册表删除以下项目
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  [N/A]
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  [N/A]
    <{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zgfdet.dll>  [N/A]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zrexgx.dll>  [N/A]
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  [N/A]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  [N/A]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll>  [N/A]
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  [N/A]
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  [N/A]
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [N/A]
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll>  [N/A]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll>  [N/A]
在启动项目——服务——驱动里面删除以下项目
[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmpF.tmp><N/A>
[Ctrl2cap / Ctrl2cap][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\Ctrl2cap.sys><N/A>
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\tmp7.tmp><N/A>
[msp2p32 / msp2p32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys><N/A>
[SWW / SWW][Stopped/Manual Start]
  <\??\D:\下载\8k8e_sww060\SWW.sys><N/A>
[WINIO / WINIO][Stopped/Manual Start]
  <\??\F:\新建文件夹\Qmacro\Qmacro\winio.sys><N/A>
使用SRE修复一下关联（系统修复——文件关联）
最好删除以下恶意软件。
删除C:\DOCUME~1\ONEPIE~1\LOCALS~1\Temp\文件夹下的所有文件

天月还是很快的 郁闷了。。。。

我的神啊..

没事没事，这算少的，不是很严重，只是一个木马群

trojan group