瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 各位老大,我整好报告了,谁能帮助我啊,svchost.exe和Explorer.exe兄弟两病毒的后遗症
爱喝果珍的猫 - 2008-6-2 19:12:00
卡卡扫描到广告恶意程序Power  路径C:/WINDOWS/svchost.exe
广告插件LSMGR 路径C:/WINDOWS/system32/Explorer.exe
恶意程序GsServer 路径    C;WINDOWS/svchost.exe
恶意程序Opfbr路径 C:/WINDOWS/system32/Explorer.exe
恶意程序伪装Sys 路径C:/WINDOWS/system32/Explorer.exe
恶意程序伪装Sys32  路径C:/WINDOWS/system32/Explorer.exe
流行木马(187)。Ini 路径C:/WINDOWS/system32/Explorer.exe
流行木马(301)。Ini路径C:/WINDOWS/svchost.exe
怎么也杀不掉,重新启动后又有,而且我的电脑图标被改啦,请问怎么解决啊!我是XP的系统


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
爱喝果珍的猫 - 2008-6-2 19:13:00
应该是今天中的,不知道怎么就中了
症状是这样的:
1、我先发现程序卡了(偶素2G内存)
2、然后瑞星的绿伞点不开了,用卡卡打开杀毒程序,发现监控都没用了,文件监控\邮件监控\网页监控都显示未安装(本来是有的)
3、瑞星防火墙出现窗口,显示“瑞星个人防火墙组织了该程序的网络请求——c:\windows\svchost.exe 协议:TCP;源IP 0.0.0.0 目标IP 220.181.6.6(这个好象每次重起会变的);动作 connect(请求连接)”而且是不停的发
4、c:\windows\svchost.exe 这个文件无法删除,包括安全模式
5、瑞星自我保护显示“进程c:\windows\sysyem32\explorer.exe出发了API类规则
6、进程explorer.exe关了自己会打开
7、进程里有一个本地用户名的svchost.exe关了就连explorer.exe也关了
8、中了这个以后同时中了很多T什么JO的病毒,瑞性能杀
9、瑞星卡卡扫描恶意流氓软件的时候能找到,但是删除不掉,状态是重启删除,但是重起后还有;
信息是这样的:每次都8个
(1)广告恶意程序POWER c:\windows\svchost.exe
(2)广告插件Lsmgr  c:\windows\sysyem32\explorer.exe
(3)恶意程序GsServer c:\windows\svchost.exe
(4)恶意程序Opfbr c:\windows\sysyem32\explorer.exe
(5)恶意程序伪装SYS c:\windows\sysyem32\explorer.exe
(6)恶意程序伪装SYS32 c:\windows\sysyem32\explorer.exe
(7)流行木马(187).ini c:\windows\sysyem32\explorer.exe
(8)(7)流行木马(301).ini c:\windows\svchost.exe

附件: SREngLOG.log
爱喝果珍的猫 - 2008-6-2 19:14:00
偶的瑞性绿伞和防火墙都是正版,卡卡是网上下的
而且程序都说已经升到最新版本了
监控完全没办法,修复程序也没用
补充一下,
1、添加删除程序里面找不到瑞星杀毒软件了,只有卡卡和瑞星个人防火墙
2、修复瑞星也没办法解决监控的问题
3、桌面下面的伞是绿的,但是打开程序在监控界面是空的
4、程序里的电脑安检查必发生错误,瑞星自我保护:“进程c:\windows\sysyem32\DRWTSN32.EXE触发了API类规则
爱喝果珍的猫 - 2008-6-2 19:16:00
后来QQ开着,提示svchost.exe和Explorer.exe这两兄弟是病毒,要清除,我就点清除
然后这两个文件米有了,卡卡也搜索不出问题
但是防火墙提示c:\windows\explorer.exe触发API规则
然后瑞星还是修不好,然后还是会出现Troj什么的病毒
超级游戏迷 - 2008-6-2 21:32:00
病毒注册表值项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{28766E1C-74B0-4417-8C75-F12AE309EF35}>

病毒驱动程序:
[cqit / cqit]
[fmsq / fmsq]
[mhfp / mhfp]
[msfpfis64 / msfpfis64]
[msp2p32 / msp2p32]

病毒文件:
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\drivers\msosmsp2p32.sys
C:\WINDOWS\system32\wzcfsw.dll

建议先把这两个文件发到“可疑文件交流区”鉴定一下:
C:\WINDOWS\system32\logonui.exe(怎么数字签名变成real的了?)
C:\windows\explorer.exe(文件版本号很怪,怀疑有问题)
爱喝果珍的猫 - 2008-6-3 8:38:00
C:\windows\explorer.exe这个我也觉得可能是病毒,那我现在应该做什么呢
爱喝果珍的猫 - 2008-6-3 18:47:00
我发过去了
然后怎么做啊
爱喝果珍的猫 - 2008-6-4 8:48:00
那里没反应啊
爱喝果珍的猫 - 2008-6-4 14:31:00
已经米有人帮我了么
爱喝果珍的猫 - 2008-6-4 14:32:00
用KaKaMD5算出的文件的md5值,再到这里查询文件是否安全,如果诊所里没有对应文件,请上传鉴定
http://file.ikaka.com/Main/index.shtml

这个是那里的回复~~~~~~~
爱喝果珍的猫 - 2008-6-4 14:32:00
很专业不是很理解啊~~~~~是不是我应该这个
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\drivers\msosmsp2p32.sys
C:\WINDOWS\system32\wzcfsw.dll
删除了
再把注册表改掉啊
豪斯登堡新郎 - 2008-6-4 14:49:00
这里官网下载费尔木马强力清除助手,勾选“清除,并抑制文件再次生成”后删除。
http://dl.filseclab.com/down/powerrmv.zip

c:\windows\system32\wzcfsw.dll
c:\windows\system32\drivers\msosmsp2p32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\explorer.exe
c:\windows\svchost.exe

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[msp2p32 / msp2p32]    <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[mhfp / mhfp]    <>
[mhfp / mhfp]    <>
[fmsq / fmsq]    <>
[fmsq / fmsq]    <>
[cqit / cqit]    <>
[cqit / cqit]    <>

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip
爱喝果珍的猫 - 2008-6-4 15:02:00
那现在转移成c:\windows\explorer.exe了怎么办啊
豪斯登堡新郎 - 2008-6-4 19:23:00
复制c:\windows\system32\dllcache\explorer.exe 粘贴到c:\windows\文件夹内(结束前先解决该进程)
爱喝果珍的猫 - 2008-6-5 8:44:00
我从别人的机器下了个好的,能替代么
天月来了 - 2008-6-5 9:06:00
如果是相同系统,自然可以替换

真要命

大版主的置顶贴怎就不愿意去看呢???

那里都写的清楚得不得了了。
爱喝果珍的猫 - 2008-6-5 10:01:00
哪个?我去看看
我中的是FLASH木马么?
天月来了 - 2008-6-5 10:03:00
为什么要问哪个呢???

哪个里有关于explorer.exe 文件被病毒替换的,就是哪个呗。:default2:
爱喝果珍的猫 - 2008-6-5 10:19:00
- -0还真没看到??
天月来了 - 2008-6-5 10:37:00
总共就那几个贴

还看不到???????????

http://bbs.ikaka.com/showtopic-8417665.aspx
tjcum210210 - 2008-6-5 10:44:00
天月老大,你看下短消息。编辑一下那个帖子,都删了不死才怪
爱喝果珍的猫 - 2008-6-5 12:10:00
我去看看了
pennylin - 2008-6-5 14:28:00
下载一个金山清理专家 应该就可以清除掉
luckyceline - 2008-6-5 14:51:00
explorer.exe中毒了, 但除了svchost.exe没有事.
explorer.exe中了和lz相同的几个毒(lsmgr, opfbr, 恶意程序伪装sys, 恶意程序伪装sys32, 流行木马(187).ini),  还用360查出叫伪honey木马下载器的东西,    用kaka和360, 虽然重启n次, 即使在安全模式下也无法清除

已经自己手动替换了干净的explorer,exe, 卡卡也不再显示有流氓程序和木马了.  可是无论中毒前后运行srengps.exe,  srenglog还是显示有被api hook呢, 见报告!

API HOOK
入口点错误:CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x010E1FFD)
入口点错误:CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x010E20E5)

请指点, 是不是病毒还在, 只是卡卡找不出来了???????
爱喝果珍的猫 - 2008-6-5 15:59:00
回家弄弄再看看,估计很难干净吧4
总之我瑞星监控还没好
nslookup2008 - 2008-6-5 16:27:00
我有一个用户也肿了和楼主一样的毒,一样一样的;另外一个肿了和24楼一样的毒,一样一样的;估计太新的毒了;那个厂家都没有解决方案。。关注,已经准备派人去给重装了
爱喝果珍的猫 - 2008-6-6 8:43:00
前面几楼有斑竹回复了
建议扫一个日志上来给人家看看
1
查看完整版本: 各位老大,我整好报告了,谁能帮助我啊,svchost.exe和Explorer.exe兄弟两病毒的后遗症
© 2000 - 2026 Rising Corp. Ltd.