瑞星卡卡安全论坛

我搞不清，我这电脑只要连上网线就会中毒。不开网页也是一样。在拨下网线，清除后。只要一连上网线就会中毒。中了毒后，用金山出的AV专杀，windows清理助手，360的专杀大全，金山清理专家一起相结合就可以清除，不过要重启好几次才能清除干净。使用也没异常。就是一接上网线后，过个半小时一小时的就会发现ARP防火墙有报警。这时去查一下就能看到好多.就是上QQ也会提示有毒。我的可是装有影子卫士在完全影子模式下还是一样中招。能告诉我咋整才不会再中招！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！:default3:
                                                还有我的电脑打了FLASH补丁的，IE同Firefox的不同补丁都打了的                                       
不会贴图就打包同日志放一起了

附件: My Documents.rar

先下载工具：
windows清理助手下载：http://www.arswp.com/download.html
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.7支持奥运版。
清理临时文件工具ATF-Cleaner-cn下载：http://www.lx2lqq.com.cn/attachment.php?fid=34
SREng辅助修复程序：http://www.lx2lqq.com.cn/attachment.php?fid=51
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\windows\linkinfo.dll
c:\windows\system32\apsgdjba.dll
c:\windows\system32\crugd.dll
c:\windows\system32\dehkj.dll
c:\windows\system32\dtrgjy.dll
c:\windows\system32\fydgky.dll
c:\windows\system32\gjbhr.dll
c:\windows\system32\hfrdzx.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\hjk.dll
c:\windows\system32\hjmh.dll
c:\windows\system32\jhrcar.dll
c:\windows\system32\jkhjsd.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\mnmhgsrv.dll
c:\windows\system32\mpwdeapi.dll
c:\windows\system32\nhmxcjkl.dll
c:\windows\system32\opshbbty.dll
c:\windows\system32\oqrthc.dll
c:\windows\system32\oswxcttb.dll
c:\windows\system32\ozfyebyt.dll
c:\windows\system32\sefawe.dll
c:\windows\system32\skqncbib.dll
c:\windows\system32\sthth.dll
c:\windows\system32\swsxachu.dll
c:\windows\system32\thef.dll
c:\windows\system32\ukrth.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\xdhdg.dll
c:\windows\system32\ypdjfbmp.dll
c:\windows\system32\yxcschlp.dll
c:\windows\system32\yxfhcjpg.dll
c:\windows\system32\yzztimsn.dll
c:\windows\system32\zdesfx.dll
c:\windows\system32\syscbcd.dll
c:\windows\system32\syswowct.dll
c:\windows\system32\zptlcsys.dll
c:\windows\system32\zxptejpg.dll
c:\windows\system32\zywmfime.dll
c:\windows\apppatch\acxtrnel.dll
c:\windows\apppatch\jview.dll
c:\windows\temp\wmsetup.dll
c:\windows\apppatch\acplugin.dll
c:\windows\apppatch\acspecf.dll
c:\docume~1\admini~1\locals~1\temp\wmsetup.dll
c:\windows\system32\360kill.bat
system32\drivers\eth8023.sys
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
使用刚下载的“SREng辅助修复程序”，分别运行：
1.清除AppInit_DLLs项；
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，将以下项删除：
[JavaView]    <C:\windows\AppPatch\Jview.dll>
[{55694105-5108-9405-3695-954187462155}]    <C:\windows\system32\mpwdeapi.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}]    <C:\windows\system32\wyrsdj.dll>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\windows\system32\jhrcar.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <C:\windows\system32\zdesfx.dll>
[{91698482-6555-3666-1222-954784129019}]    <C:\windows\system32\zxptejpg.dll>
[{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}]    <C:\windows\system32\yxfhcjpg.dll>
[{4FD45A54-9875-698F-E56E-65102358FDF4}]    <C:\windows\system32\apsgdjba.dll>
[{32023698-6984-8541-9654-698745012523}]    <C:\windows\system32\skqncbib.dll>
[{81954FAC-1023-154F-895A-1458258AD818}]    <C:\windows\system32\ypdjfbmp.dll>
[{37AC9076-C898-B098-D098-A18319080973}]    <C:\windows\system32\nhmxcjkl.dll>
[{35671234-7890-ABCD-CDEF-567801237653}]    <C:\windows\system32\yxcschlp.dll>
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}]    <C:\windows\system32\hfrdzx.dll>
[{5A069845-2036-6084-9054-6087502480A5}]    <C:\windows\system32\ozfyebyt.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\windows\system32\hhrdxd.dll>
[{9490415F-65F8-B5C5-D8BA-9405FB120549}]    <C:\windows\system32\yzztimsn.dll>
[{33512378-9874-5641-1025-985420368733}]    <C:\windows\system32\oswxcttb.dll>
[{6319A1F1-9410-9654-3201-345FFA349136}]    <C:\windows\system32\zywmfime.dll>
[{50940F85-F015-14F1-A05F-F69858AC6D05}]    <C:\windows\system32\zptlcsys.dll>
[{22596546-2036-9451-6058-658402589722}]    <C:\windows\system32\opshbbty.dll>
[{13FD5987-65D2-C58D-D87E-987451F12531}]    <C:\windows\system32\swsxachu.dll>
[{7C8D1401-A58D-A81C-CD24-A5915C4517C7}]    <C:\windows\system32\mnmhgsrv.dll>
[kvonreboot]    <C:\windows\system32\360Kill.bat>
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[eth8023 / eth8023]    <\SystemRoot\system32\drivers\eth8023.sys>
———————————————————————————————————————
打开SREng，选择【系统修复】-【浏览器加载项】，将以下项删除：
[]    <C:\windows\system32\yzztimsn.dll>
[]    <C:\windows\system32\zxptejpg.dll>
[]    <C:\windows\system32\yxfhcjpg.dll>
[]    <C:\windows\system32\ypdjfbmp.dll>
[]    <C:\windows\system32\mnmhgsrv.dll>
[]    <C:\windows\system32\zywmfime.dll>
[]    <C:\windows\system32\ozfyebyt.dll>
[]    <C:\windows\system32\mpwdeapi.dll>
[]    <C:\windows\system32\zptlcsys.dll>
[]    <C:\windows\system32\apsgdjba.dll>
[]    <C:\windows\system32\nhmxcjkl.dll>
[]    <C:\windows\system32\yxcschlp.dll>
[]    <C:\windows\system32\oswxcttb.dll>
[]    <C:\windows\system32\skqncbib.dll>
[]    <C:\windows\system32\opshbbty.dll>
[]    <C:\windows\system32\swsxachu.dll>
[]    <C:\windows\system32\yzztimsn.dll>
[]    <C:\windows\system32\zxptejpg.dll>
[]    <C:\windows\system32\yxfhcjpg.dll>
[]    <C:\windows\system32\ypdjfbmp.dll>
[]    <C:\windows\system32\mnmhgsrv.dll>
[]    <C:\windows\system32\zywmfime.dll>
[]    <C:\windows\system32\ozfyebyt.dll>
[]    <C:\windows\system32\mpwdeapi.dll>
[]    <C:\windows\system32\zptlcsys.dll>
[]    <C:\windows\system32\apsgdjba.dll>
[]    <C:\windows\system32\nhmxcjkl.dll>
[]    <C:\windows\system32\yxcschlp.dll>
[]    <C:\windows\system32\oswxcttb.dll>
[]    <C:\windows\system32\skqncbib.dll>
[]    <C:\windows\system32\opshbbty.dll>
[]    <C:\windows\system32\swsxachu.dll>
———————————————————————————————————————
使用刚下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
使用刚下载的“Windows清理助手”清理你的系统。
———————————————————————————————————————

谢谢版主帮我分析。我等了一会没看到有人回我就自己整了一下。麻烦版主再帮我看看。问题在哪里。我每次搞成这样子，我自己搞了好多天了，每次是这样子。可是一接上网线就中招了。

附件: SREngLOG.log

你个菜鸟，给你提个建议，用不用随便你自己。


一：建议用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html

这个比较适合新手用。

:default2: 回贴的先看清楚再回好不好？楼上说的这个我早在前面说过了。

我现在是想知道到底哪个在做怪。让我一连线就中招。还是因为局域网内还有别的电脑中了这毒传给我的？现在我到底应该怎么做呢:default11: :default11: :default11:

新日志看不出什么了

至于反复中毒，可能系统还有漏洞

可能局域网影响。

可能总是在上自以为没问题的网站

你还是打全系统补丁，安装金山的ARP防火墙试试。

其他的东西太烦，没本事一点一点告诉你。

谢谢抽空来看我的贴子，我是装了金山ARP防火墙的，还有我根本就没开网页以及QQ什么的，只开这个论坛。也是一样能中毒。反正是清除了以后重开机，不接网线，用金山清理专家、Windows清理助手这些都扫不出东东，用金山清理专家里面在线杀毒也扫不出什么了。可是只要我再接上网线，不开QQ不开网页，最多过半小时一小时的，ARP防火墙就会出现提示，说对外攻击已拦阻。这时候无论用哪个扫都能扫出毒或木马之类的。这是怎么回事啊。至于补丁，我用金山清理专家扫也没有，卡卡上网助手扫也没有没打的补丁了。QQ医生扫也是没有没打的补丁。别的我就没试过，系统更新我不敢开，以免出那个五角星，看着不爽。
:default6:
所以基本上的补丁应该都打上了的。可是为什么还总是中毒呢？:kaka2:
:kaka2: :kaka2: :kaka2: :kaka2:

那你看防火墙里到底还有些什么东西在访问网络

这的慢慢弄了

因为病毒是下载来的，肯定有什么东西在联网下载。

或者ARP防火墙并没能拦住局域网其他电脑对你的影响吧。

我也正在找下载防火墙看看。装好后找到访问网络的文件再发上来麻烦你再帮我看看啊:default5:

能不能给我发一个进程查看器啊，就是那种一有一个新进程运行就有提示之类的东西啊。我装了一个天网防火墙不行，一连网线等一会就自己关了。在c:\windows\apppatch\jview.dll多了这个木马文件。我的天网设置是所有进程访问网络都有提示。开机后，我就打开天网，看着应用程序网络状态看着哪些程序访问哪些网络。在没连网线时没事，后来我插上网线后，就是提示c:\windows\explorer.exe访问网络，我点了几次禁止没事，因为我没点总是执行止操作。所以他一直出。我在查看了原文件后才点的允许访问网络，点了后隔了几秒钟，天网就自动关了。也没看到什么进程。断网后就发现了一个木马。我重新启动天网后把EXPLORER.EXE设成不允许访问网络，好像就没有什么问题了。天网没自动关。现在过了一会也没见再有病毒木马感染。帮我分析一下这个文件在附件里面，我是复制的应该没差别吧。附件里面还有一个图。另外天网自动关闭后我再看了天网的日志。什么都没有。不过现在连上网后天网有这样子的记录
[18:28:25] 接收到 192.168.1.101 的 UDP 数据包，
          本机端口: 7777 ，
          对方端口: 7777
          该包被拦截。

[18:38:25] 接收到 192.168.1.101 的 UDP 数据包，
          本机端口: 7777 ，
          对方端口: 7777
          该包被拦截。

就是看不到进程。不知道是哪个连上这台机的。
看时间是10分钟一次，可是我看了10分钟也没看到有哪个进程连上这台电脑。哪个版主帮我分析一下，是不是c:\windows\explorer.exe这个文件的问题？应该怎么做？

附件: My Documents.rar

那个木马我清除了，就是c:\windows\explorer.exe这文件不敢动

怎么老大们都不来看我的了吗？还没人告诉我怎么做啊

版主们都没在了？怎么我看到好有好长时间没版主回贴了，不止是我一个人 的贴

上传文件正常  未发现被感染

啊！！！！！！！！！！！！！！！！！！可是我把他禁止连网我就没再中毒了啊。这是咋回事？天网也没出现自动关闭的情况了啊。不懂。

算了先这样子吧，明天再试试让他能连网看看会不会再立马中毒。今天累了:default5:

:default30: