瑞星又被黑了，新日志在15楼 bbs.ikaka.com

lina0914 - 2008-5-30 21:09:00

我怎么又遇到这个问题呢？请求大侠支援！
正上着网，打开QQ说有盗号木马，瑞星监控也自动退出了，瑞星杀毒程序也打不开，桌面上其它图标都打不开。还好重启恢复最近一次正常设置后桌面上的打开了，但瑞星还是打不开，瑞星监控也没有。附日志

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件: SREngLOG.log

秋叶濛濛 - 2008-5-30 21:41:00

东西有些多手动处理有一定难度
最好先尝试用专杀清理
http://www.duba.net/zhuansha/260.shtml
然后可以下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

超级游戏迷 - 2008-5-30 22:16:00

下载工具(都下载到c:\winnt目录下，有的要要解压，请解压缩在c:\winnt目录下)：
XDelBox下载：http://www.dodudou.com/down/ 打开后选择【原创软件】，下载XDelBox1.7支持奥运版。
windows清理助手下载：http://www.arswp.com/download.html
清理临时文件工具下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe
系统核心文件替换工具：下载附件
———————————————————————————————————————
直接拔掉网线，再进行以下操作（请不要中途再联网）：
———————————————————————————————————————
运行附件，直到显示“修复完毕”
———————————————————————————————————————
使用XDelBox删除以下文件：
使用前一定拔掉所有移动存储设备，将下面文件列表内容完整复制，然后打开XDelBox，在“待删除文件列表”下方空白框处右键，选择“剪贴板导入不检查路径”，勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
C:\WINNT\hefcndy.exe
C:\WINNT\fmsiocps.exe
C:\WINNT\anistio.exE
C:\WINNT\dionpis.exe
C:\WINNT\isndntio.exe
C:\WINNT\mfchlp64.exe
C:\WINNT\perrhv.exe
C:\WINNT\fmsjhif.exe
C:\WINNT\fmsbbqi.exe
C:\WINNT\dbhlp32.exe
C:\WINNT\otsfck.exe
C:\WINNT\ticisms.exe
C:\WINNT\ptshell.exe
C:\WINNT\huifitc.exe
C:\WINNT\bincdwsa.exe
C:\WINNT\fmbiost.exe
C:\WINNT\dndsioc.exe
C:\WINNT\yuiabct.exe
C:\WINNT\wipicdec.exe
C:\WINNT\WINSvr64.exe
C:\WINNT\system32\B3F56129.EXE
C:\WINNT\system32\drivers\2w33xe49.sys
C:\WINNT\system32\drivers\acpidisk.sys
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp11.tmp
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp15.tmp
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp13.tmp
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp19.tmp
C:\WINNT\TEMP\tmp4.tmp
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp17.tmp
C:\WINNT\system32\drivers\msosmsfpfis64.sys
C:\WINNT\system32\drivers\msosmsp2p32.sys
C:\WINNT\system32\drivers\npf.sys
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp1D.tmp
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmp1B.tmp
C:\WINNT\System32\DRIVERS\whz6kk.sys
C:\DOCUME~1\AZHN~1.81E\LOCALS~1\Temp\tmpD.tmp
C:\Program Files\Common Files\CPUSH\cpush.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
C:\WINNT\system32\vvrvpw.dll
C:\WINNT\system32\loclin.dll
C:\WINNT\system32\txbjps.dll
C:\WINNT\system32\gxxxce.dll
C:\WINNT\system32\tkspmd.dll
C:\WINNT\system32\tciocp64.dll
C:\WINNT\system32\ephuks.dll
C:\WINNT\system32\5914621A.DLL
C:\WINNT\system32\iugbzw.dll
C:\WINNT\system32\xboetp.dll
C:\WINNT\system32\esrsrb.dll
C:\WINNT\system32\ukulpj.dll
C:\WINNT\TEMP\_bnyunxing33.znb
C:\WINNT\system32\qgyygz.dll
C:\WINNT\system32\wipicdec.dll
C:\WINNT\system32\msosdohs00.dll
C:\WINNT\system32\msosfmsq00.dll
C:\WINNT\system32\msosping00.dll
C:\WINNT\system32\msosptfs00.dll
C:\WINNT\system32\msosjtio00.dll
C:\WINNT\system32\msoscqit00.dll
C:\WINNT\system32\msoscqit01.dll
C:\WINNT\system32\msosfmsq01.dll
C:\WINNT\system32\msosjtio01.dll
C:\WINNT\system32\msosptfs01.dll
C:\WINNT\system32\msosping01.dll
C:\WINNT\system32\msosdohs01.dll
C:\WINNT\system32\msosdohs02.dll
C:\WINNT\system32\xencrl.dll
C:\Program Files\Internet Explorer\PLUGINS\DosSys16.Sys
C:\WINNT\system32\nybmnf.dll
C:\WINNT\system32\hifgui.dll
C:\WINNT\system32\hrtgbt.dll
C:\WINNT\system32\fmsiocps.dll
C:\WINNT\system32\SysWoWCt.dll
C:\WINNT\system32\SysDaJHv.dll
C:\WINNT\system32\hrczws.dll
C:\WINNT\system32\bzlixw.dll
C:\WINNT\system32\perrhv.dll
C:\WINNT\system32\crqbrd.dll
C:\WINNT\system32\mfhnds.dll
C:\WINNT\system32\ftprwq.dll
C:\WINNT\system32\spqqac.dll
C:\WINNT\system32\WINSvr64.dll
C:\WINNT\system32\ceggha.dll
C:\WINNT\system32\dbhlp32.dlL
C:\WINNT\system32\fmbiost.dll
C:\WINNT\system32\ptshell.dll
C:\WINNT\system32\fmsbbqi.dll
C:\WINNT\system32\bincdwsa.dll
C:\WINNT\system32\hbsprf.dll
C:\WINNT\system32\ehxsofrz.dll
C:\WINNT\system32\mfchlp64.dll
C:\WINNT\system32\isndntio.dll
C:\WINNT\system32\ticisms.dll
C:\WINNT\system32\dndsioc.dll
C:\WINNT\system32\fmsjhif.dll
C:\WINNT\system32\yuiabct.dll
C:\WINNT\system32\huifitc.dll
C:\WINNT\system32\dionpis.dll
C:\WINNT\system32\anistio.dll
C:\WINNT\system32\hefcndy.dll
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
运行SRENG扫描工具，选择【启动项目】-【注册表】，将以下项删除：
<hefcndy>
<fmsiocps>
<anistio>
<dionpis>
<isndntio>
<mfchlp64>
<nchujscu>
<fmsjhif>
<fmsbbqi>
<dbhlp32>
<tciocp64>
<ticisms>
<ptshell>
<huifitc>
<bincdwsa>
<fmbiost>
<dndsioc>
<yuiabct>
<wipicdec>
<WINSvr64>
除了<IFEO[Image File Execution Options]>外，删除所有红色显示的<IFEO[……]>项目
———————————————————————————————————————
运行SRENG扫描工具，选择【启动项目】-【服务】-【WIN32服务应用程序】，将以下项删除：
[7094D53F / 7094D53F]
———————————————————————————————————————
运行SRENG扫描工具，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[2w33xe49 / 2w33xe49]
[acpidisk / acpidisk]
[cqit / cqit]
[dohs / dohs]
[fmsq / fmsq]
[jtio / jtio]
[mhfp / mhfp]
[mnsf / mnsf]
[msfpfis64 / msfpfis64]
[msp2p32 / msp2p32]
[Netgroup Packet Filter / NPF]
[ping / ping]
[ptfs / ptfs]
[whz6k / whz6kk]
[zftp / zftp]
———————————————————————————————————————
运行SRENG扫描工具，选择【系统修复】-【浏览器加载项】，将以下项删除：
[易趣购物]
{DE60714F-AC19-427e-861A-FD60ABDF119A}
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}
———————————————————————————————————————
重启电脑，运行“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
联网杀软升级到最新版本，全盘杀毒。
———————————————————————————————————————
最后运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理；不能确定的，把图发上来。

附件: 修复services等.rar

怎么都是病毒 - 2008-5-30 22:58:00

很详细~~~~学习一下~~~

lina0914 - 2008-5-31 0:11:00

先看到用2楼回复，于是先用毒霸，但使用中出错，提示什么不能为read就关闭了，于是放弃，谢谢2楼TX。
看到3楼斑竹的介绍，一步一步的进行，准备升级瑞星的时候已经能够打开瑞星了，但提示什么东西试图修改啥子要选择拒绝或是放过，我选择的拒绝，瑞星和监控立马关了，再也打不开，现在重启还是打不开。
在按照斑竹介绍的方法中，有很多文件提示说没有“file not find”。我忘了介绍，我以前的系统xp出了问题后又重新安了xp，但老的xp还在，每次开机的时候能看见。
现在我重新把日志发上来麻烦斑竹再给看看，谢谢

附件: SREngLOG.log

lina0914 - 2008-5-31 0:14:00

修复services时就有很多文件没有。在dos下删除文件时也有些.dll没有，而且删除过程中途等了半天没反应我按了enter后才继续下去的

超级游戏迷 - 2008-5-31 0:23:00

引用:

原帖由 lina0914 于 2008-5-31 0:14:00 发表
修复services时就有很多文件没有。在dos下删除文件时也有些.dll没有，而且删除过程中途等了半天没反应我按了enter后才继续下去的

心太急，部分病毒文件未被删除导致再次被感染，我倒……
等明天新郎版主给你出高招吧……
建议认真看我帖子里的每句话，每个步骤的逻辑顺序不要错，不要干涉的步骤就别干涉，哎……

lina0914 - 2008-5-31 0:23:00

斑斑，还在吗？我等......

lina0914 - 2008-5-31 0:25:00

谢谢斑斑，希望明天不要沉了

超级游戏迷 - 2008-5-31 0:32:00

引用:

原帖由 lina0914 于 2008-5-31 0:23:00 发表
斑斑，还在吗？我等......

别等了，立刻拔掉网线，然后扫描个日志，把日志保存到U盘，关机，明天用正常的计算机把U盘里的日志上传（这会你的机已经不知道怎么样了，估计下载器在后台又给你的机下载了不少新木马，在网上呆的时间越长，下载的病毒就越多，今天就先这样了……）。

豪斯登堡新郎 - 2008-5-31 0:38:00

下载附件解压后将注册表导入以修复IFEO 然后严格按照以下步骤进行注意文件替换很重要要不重起后又是一堆木马

参考这里：http://bbs.ikaka.com/showtopic-8502100.aspx
下载并正确安装PE，并下载附件中的“费尔强力木马清除助手”，重起进入PE做两件事：

1.用“费尔……”删除以下文件：
c:\winnt\system32\msoscqit00.dll
c:\winnt\system32\msosdohs01.dll
c:\winnt\system32\msosfmsq00.dll
c:\winnt\system32\msosjtio00.dll
c:\winnt\system32\msosping00.dll
c:\winnt\system32\msosptfs00.dll
c:\winnt\system32\noempd.dll
c:\winnt\system32\qzsytr.dll
c:\winnt\system32\coseai.dll
c:\winnt\system32\cotjmq.dll
c:\winnt\system32\cswwpu.dll
c:\winnt\system32\czvevi.dll
c:\winnt\system32\evygqa.dll
c:\winnt\system32\fcxwwn.dll
c:\winnt\system32\hidylf.dll
c:\winnt\system32\hpayro.dll
c:\winnt\system32\khrepx.dll
c:\winnt\system32\koilnk.dll
c:\winnt\system32\mghbfg.dll
c:\winnt\system32\stszev.dll
c:\winnt\system32\ukjwcf.dll
c:\winnt\system32\wuzgjt.dll
c:\winnt\cotjmq.exe
c:\winnt\cswwpu.exe
c:\winnt\evygqa.exe
c:\winnt\hidylf.exe
c:\winnt\hpayro.exe
c:\winnt\khrepx.exe
c:\winnt\mghbfg.exe
c:\winnt\pfngjq.exe
c:\winnt\ukjwcf.exe
c:\winnt\xqobyp.exe
c:\winnt\wuzgjt.exe
c:\winnt\czvevi.exe
c:\winnt\coseai.exe
c:\winnt\fcxwwn.exe
c:\winnt\koilnk.exe
c:\winnt\system32\sysdajhv.dll
c:\winnt\system32\noempd.dll
c:\winnt\system32\nicozftp00.dll
c:\winnt\system32\msosdohs01.dll
c:\winnt\system32\msosfmsq00.dll
c:\winnt\system32\msosmhfp00.dll
c:\winnt\system32\msoscqit00.dll
c:\winnt\system32\msosmnsf00.dll
c:\winnt\system32\msosjtio00.dll
c:\winnt\system32\msosptfs00.dll
c:\winnt\system32\nicozftp01.dll
c:\winnt\system32\msosdohs02.dll
c:\winnt\system32\msosfmsq01.dll
c:\winnt\system32\msosmhfp01.dll
c:\winnt\system32\msoscqit01.dll
c:\winnt\system32\msosmnsf01.dll
c:\winnt\system32\msosjtio01.dll
c:\winnt\system32\msosptfs01.dll
c:\winnt\system32\nicozftp02.dll
c:\winnt\system32\msosdohs00.dll
c:\winnt\system32\msosfmsq02.dll
c:\winnt\system32\msosmhfp02.dll
c:\winnt\system32\msoscqit02.dll
c:\winnt\system32\msosmnsf02.dll
c:\winnt\system32\msosjtio02.dll
c:\winnt\system32\msosptfs02.dll
c:\winnt\system32\qzsytr.dll
c:\winnt\system32\msosping00.dll
c:\winnt\system32\cswwpu.dll
c:\program files\internet explorer\plugins\dossys16.sys
c:\winnt\system32\b3f56129.exe
c:\winnt\temp\tmp3.tmp
c:\winnt\temp\tmp25.tmp
c:\winnt\temp\tmp27.tmp
c:\winnt\system32\drivers\msosmsp2p32.sys
c:\winnt\system32\drivers\msosmsfpfis64.sys
c:\winnt\temp\tmp1f.tmp
c:\winnt\temp\tmp23.tmp
c:\winnt\temp\tmp16.tmp
c:\winnt\temp\tmp1b.tmp
c:\winnt\temp\tmpe.tmp
c:\documents and settings\all users.winnt\application data\microsoft\pctools\pctools.dll

2.删除完文件后，复制c:\winnt\system32\dllcache\文件夹中的services.exe lsass.exe mfc40u.dll cdfview.dll 粘贴到c:\winnt\system32\文件夹内，提示替换时选“是” 复制c:\winnt\system32\dllcache\文件夹中的beep.sys粘贴到c:\winnt\system32\drivers\文件夹内，提示替换选“是”

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[WINSvr64]
[wipicdec]
[yuiabct]
[dndsioc]
[dndsioc]
[fmbiost]
[bincdwsa]
[huifitc]
[ptshell]
[ticisms]
[hefcndy]
[tciocp64]
[dbhlp32]
[fmsbbqi]
[fmsjhif]
[nchujscu]
[mfchlp64]
[isndntio]
[dionpis]
[anistio]
[fmsiocps]
注意该项[AppInit_DLLs]修改：把<SysDaJHv.dll,noempd.dll,nicozftp00.dll,msosdohs01.dll,msosfmsq00.dll,msosmhfp00.dll,msoscqit00.dll,msosmnsf00.dll,msosjtio00.dll,msosptfs00.dll,qzsytr.dll,msosping00.dll,cswwpu.dll>修改为<>即清空
[{398C9B84-4EF7-47B5-9862-DE29543B3C42}]

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[7094D53F / 7094D53F]

启动项目－－服务－－驱动程序之如下项删除：
[zftp / zftp]
[ptfs / ptfs]
[ping / ping]
[msp2p32 / msp2p32]
[msfpfis64 / msfpfis64]
[mnsf / mnsf]
[jtio / jtio]
[fmsq / fmsq]
[dohs / dohs]
[cqit / cqit]

系统修复－－　浏览器加载项之如下项删除：
[] <C:\Program Files\Internet Explorer\PLUGINS\DosSys16.Sys>
[Info cache] <C:\Documents and Settings\All Users.WINNT\Application Data\Microsoft\PCTools\pctools.dll>
[Info cache] <C:\Documents and Settings\All Users.WINNT\Application Data\Microsoft\PCTools\pctools.dll>

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

附件: 附件1.rar

lina0914 - 2008-5-31 15:01:00

我用费尔删除文件后（有部分文件提示不存在），c:\winnt\system32\dllcache\文件夹中的services.exe lsass.exe cdfview.dll beep.sys都没有，只粘贴了mfc40u.dll ，重启进不了xp，提示无法定位到mfc40u.dll 。c:\winnt\system32\下还是有那几个文件的

豪斯登堡新郎 - 2008-5-31 15:04:00

那几个文件一定全部替换 lsass.exe也被感染了不替换是进不了系统的。。。请重新正确操作

如果dllcache文件夹中没有那些文件可以用U盘等设备从其他相同系统中拷贝那些文件后在PE里进行替换

一定每一步都正确做好

lina0914 - 2008-5-31 15:10:00

我在这里下载的，http://bbs.ikaka.com/showtopic-8501837.aspx 回去重新开始每一步再替换可以吧？

lina0914 - 2008-6-1 16:00:00

又重新开始了一次，瑞星正常了。但，金山清理专家清理恶意软件时发现有5个程序，杀不了，我上不到图。这5个恶意软件是：Msos_Troj，PopWinTe，PopWinTe_B(Troj)，Brontok蠕虫，acpidisk驱动
现在我换台电脑上传日志，那台暂不用了，麻烦版主看看，怎么办呢

附件: SREngLOG.log

果冻·布丁 - 2008-6-1 16:08:00

哇好麻烦，不如重做系统算了，补丁估计都没打吧:default8:

lina0914 - 2008-6-1 16:37:00

希望再等斑斑来指导最后一次，要不就只有重装了。

天月来了 - 2008-6-1 16:50:00

这三个不常见，自己看文件判断去
==================================
驱动程序
[rkl8w / rkl8wi][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\rkl8wi.sys><>

[Windows Driver Foundation - User-mode Driver Framework Platform Driver / WudfPf][Stopped/Manual Start]
<system32\DRIVERS\WudfPf.sys><Microsoft Corporation>
[Windows Driver Foundation - User-mode Driver Framework Reflector / WudfRd][Stopped/Manual Start]
<system32\DRIVERS\wudfrd.sys><Microsoft Corporation>

系统无异常，就行了

瑞星卡卡安全论坛