电脑中毒了 bbs.ikaka.com

我怕猫咪 - 2008-6-5 22:47:00

今天上一个小网站下了一个软件就中毒了，以后再也不上小网站下软件了，希望各位能帮个忙，谢谢。
症状如下：

1.瑞星杀毒软件和防火墙被屏蔽，打不开

2.开始任务管理器里会多出explorer.exe，iexplorer.exe各一个，我把它们都结束掉了，后来出现个22.exe进程，在C:\WINDOWS\system32里的22.exe文件，原来删不掉，后来我不小心点开了，就消失了，换了个31.exe，被我删掉了

3.用卡卡助手打开了瑞星杀毒软件，用置顶帖子里的木马群处理程序处理了一下，似乎没什么用。

4.用置顶帖子里的“修复应用程序劫持项.dat”，打开瑞星扫描杀毒，被结束进程，点升级病毒库，会弹出个“C:\PROGRA~1\Rising\Smartup.exe”的命令提示符的框

5.中间有一次重启时（当然重启了很多次了），提示瑞星升级成功，但是安装新病毒通用库出错，我就没继续安装

6.卡卡助手检测进程，在瑞星目录的ras.exe进程下发现：
C:\WINDOWS\system32\ tisqatyu.dll......nhmxcjkl.dll.......fsrgeb.dll......... rfdswc.dll....hhrdxd.dll......jdsaex.dll........tdffdl.dll.....zgfdet.dll.....cedafb.dll.....cedafb.dll......hfrdzx.dll......wyrsdj.dll.......jfrwdh.dll........wklsdd.dll.......mfdesy.dll

C:\Program Files\Rising\AntiSpyware\scanunv.dll
这些个没出品公司和文件版本的模块

帮帮我，谢谢。

这是家里的电脑，今天最好能处理完。我明天要去学校，就没法弄了，不行还要重装系统，可太麻烦了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer)

附件: SREngLOG.log

我怕猫咪 - 2008-6-5 23:01:00

补充一下，qq医生也运行不了

我怕猫咪 - 2008-6-5 23:21:00

不行吗？不能解决？

mopery - 2008-6-5 23:23:00

用sreng
删除启动项目=>注册表

<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{33512378-9874-5641-1025-985420368733}><C:\WINDOWS\system32\oswxcttb.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zgfdet.dll> []
<{7C8D1401-A58D-A81C-CD24-A5915C4517C7}><C:\WINDOWS\system32\mnmhgsrv.dll> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{4F4F0064-71E0-4f0d-0014-708476C7815F}><C:\WINDOWS\system32\midimapms.dll> [File is missing]
<{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll> []
<{4F4F0064-71E0-4f0d-0005-708476C7815F}><C:\WINDOWS\system32\midimapzx.dll> [File is missing]
<{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll> []
<{4C648541-1025-9650-9057-6541258720C4}><C:\WINDOWS\system32\mndhddwd.dll> []
<{4F4F0064-71E0-4f0d-0022-708476C7815F}><C:\WINDOWS\system32\midimapqn3.dll> [File is missing]
<{81954FAC-1023-154F-895A-1458258AD818}><C:\WINDOWS\system32\ypdjfbmp.dll> []
<{2D698451-2015-6358-9871-2015987452D2}><C:\WINDOWS\system32\apzhbtde.dll> []
<{4F4F0064-71E0-4f0d-0003-708476C7815F}><C:\WINDOWS\system32\midimapgj.dll> [File is missing]
<{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll> []
<{4F4F0064-71E0-4f0d-0004-708476C7815F}><C:\WINDOWS\system32\midimapwl.dll> [File is missing]
<{35671234-7890-ABCD-CDEF-567801237653}><C:\WINDOWS\system32\yxcschlp.dll> []
<{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll> []
<{4F4F0064-71E0-4f0d-0023-708476C7815F}><C:\WINDOWS\system32\midimapcq.dll> [File is missing]
<{4F4F0064-71E0-4f0d-0012-708476C7815F}><C:\WINDOWS\system32\midimapjr.dll> [File is missing]
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
<{18093456-9012-4568-9076-908765467181}><C:\WINDOWS\system32\tisqatyu.dll> []
<{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll> []
<{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll> []
<{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll> []
<{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> []
<{5A069845-2036-6084-9054-6087502480A5}><C:\WINDOWS\system32\ozfyebyt.dll> []
<{4F4F0064-71E0-4f0d-0024-708476C7815F}><C:\WINDOWS\system32\midimapcqsj.dll> [File is missing]
<{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll> []
<midimapms><C:\WINDOWS\system32\midimapms.dll> [File is missing]
<midimapzx><C:\WINDOWS\system32\midimapzx.dll> [File is missing]
<midimapqn3><C:\WINDOWS\system32\midimapqn3.dll> [File is missing]
<midimapgj><C:\WINDOWS\system32\midimapgj.dll> [File is missing]
<midimapwl><C:\WINDOWS\system32\midimapwl.dll> [File is missing]
<midimapcq><C:\WINDOWS\system32\midimapcq.dll> [File is missing]
<midimapjr><C:\WINDOWS\system32\midimapjr.dll> [File is missing]
<midimapcqsj><C:\WINDOWS\system32\midimapcqsj.dll> [File is missing]

删除启动项目=>服务
[Plug and Play / PlugPlay][Running/Auto Start]
<C:\WINDOWS\system32\services.exe><Microsoft Corporation>
[IPSEC Services / PolicyAgent][Running/Auto Start]
<C:\WINDOWS\system32\lsass.exe><Microsoft Corporation>
[Protected Storage / ProtectedStorage][Running/Auto Start]
<C:\WINDOWS\system32\lsass.exe><Microsoft Corporation>
[QoS RSVP / RSVP][Stopped/Manual Start]
<C:\WINDOWS\system32\rsvp.exe><Microsoft Corporation>
[Security Accounts Manager / SamSs][Running/Auto Start]
<C:\WINDOWS\system32\lsass.exe><Microsoft Corporation>
[Smart Card / SCardSvr][Stopped/Manual Start]
<C:\WINDOWS\System32\SCardSvr.exe><Microsoft Corporation>
[MS Software Shadow Copy Provider / SwPrv][Stopped/Manual Start]
<C:\WINDOWS\system32\dllhost.exe /Processid:{D29F5BED-E853-426F-8011-64FBD4FAFC14}><Microsoft Corporation>
[Performance Logs and Alerts / SysmonLog][Stopped/Manual Start]
<C:\WINDOWS\system32\smlogsvc.exe><Microsoft Corporation>
[Telnet / TlntSvr][Stopped/Disabled]
<C:\WINDOWS\system32\tlntsvr.exe><Microsoft Corporation>
[Windows User Mode Driver Framework / UMWdf][Stopped/Manual Start]
<C:\WINDOWS\system32\wdfmgr.exe><Microsoft Corporation>
[Volume Shadow Copy / VSS][Stopped/Manual Start]
<C:\WINDOWS\System32\vssvc.exe><Microsoft Corporation>

删除启动项目=>服务=>驱动
[HiddFldy / HiddFldy][Running/Auto Start]
<\??\C:\WINDOWS\system32\d32dx9.sys><N/A>
[IIS Manager / IIS Manager ][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp><N/A>

删除系统修复=>浏览器加载项
[]
{18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
{2D698451-2015-6358-9871-2015987452D2} <C:\WINDOWS\system32\apzhbtde.dll, N/A>
[]
{33512378-9874-5641-1025-985420368733} <C:\WINDOWS\system32\oswxcttb.dll, N/A>
[]
{35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
{37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
{4C648541-1025-9650-9057-6541258720C4} <C:\WINDOWS\system32\mndhddwd.dll, N/A>
[]
{5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
{7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
{81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>
[]
{18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
{2D698451-2015-6358-9871-2015987452D2} <C:\WINDOWS\system32\apzhbtde.dll, N/A>
[]
{33512378-9874-5641-1025-985420368733} <C:\WINDOWS\system32\oswxcttb.dll, N/A>
[]
{35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
{37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
{4C648541-1025-9650-9057-6541258720C4} <C:\WINDOWS\system32\mndhddwd.dll, N/A>
[]
{5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
{7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
{81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>

启动项目=>注册表
<AppInit_DLLs> 编辑为空值..

重启,删除文件
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\oswxcttb.dll
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\zgfdet.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\midimapms.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\wklsdd.dll
C:\WINDOWS\system32\mndhddwd.dll
C:\WINDOWS\system32\midimapqn3.dll
C:\WINDOWS\system32\ypdjfbmp.dll
C:\WINDOWS\system32\apzhbtde.dll
C:\WINDOWS\system32\midimapgj.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\midimapwl.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\cedafb.dll
C:\WINDOWS\system32\midimapcq.dll
C:\WINDOWS\system32\midimapjr.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\jdsaex.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\midimapcqsj.dll
C:\WINDOWS\system32\rfdswc.dll
C:\WINDOWS\system32\midimapms.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\midimapqn3.dll
C:\WINDOWS\system32\midimapgj.dll
C:\WINDOWS\system32\midimapwl.dll
C:\WINDOWS\system32\midimapcq.dll
C:\WINDOWS\system32\midimapjr.dll
C:\WINDOWS\system32\midimapcqsj.dll
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\rsvp.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\smlogsvc.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\d32dx9.sys
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\apzhbtde.dll
C:\WINDOWS\system32\oswxcttb.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\mndhddwd.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\ypdjfbmp.dll
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\apzhbtde.dll
C:\WINDOWS\system32\oswxcttb.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\mndhddwd.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\ypdjfbmp.dll

mopery - 2008-6-5 23:23:00

可借助..
360安全卫士金山清理专家卡卡上网助手帮助清理..

我怕猫咪 - 2008-6-5 23:48:00

谢谢先
[Plug and Play / PlugPlay][Running/Auto Start]
<C:\WINDOWS\system32\services.exe><Microsoft Corporation>
这个说是系统服务，不能够配置，影响不大吧

mopery - 2008-6-5 23:50:00

签名有点问题..
也不想系统文件..
你可以勾上隐藏已认证的微软项目来识别..

我怕猫咪 - 2008-6-5 23:59:00

没有隐藏，但还是不能配置

我怕猫咪 - 2008-6-6 0:02:00

[Security Accounts Manager / SamSs][Running/Auto Start]
<C:\WINDOWS\system32\lsass.exe><Microsoft Corporation>
遇到同样的问题

我怕猫咪 - 2008-6-6 0:20:00

启动项目=>注册表
<AppInit_DLLs> 编辑为空值..
也完不成，总是被改回来 :default3:

类似以下的几个注册表值删不掉
<{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll> []
<{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll> []
<{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll> []
<{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> []
<{5A069845-2036-6084-9054-6087502480A5}><C:\WINDOWS\system32\ozfyebyt.dll> []
<{4F4F0064-71E0-4f0d-0024-708476C7815F}><C:\WINDOWS\system32\midimapcqsj.dll> [File is missing]
<{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll> []:default2:

天月来了 - 2008-6-6 8:55:00

扫最新的2.6版的SRENG日志来。

我怕猫咪 - 2008-6-6 16:18:00

can le can le,
jia li ji qi bei po chong zhuang xi tong ,
xue xiao you zhong mu ma qun le ,
sui ran bei rui xing sha diao le ,
dan mei fa qie huan zhong wen shu ru fa le.

ban zhu jiu ming a!!!

附件: SREngLOG.log

天月来了 - 2008-6-6 16:24:00

你所有电脑都得折腾这补丁啊
http://bbs.ikaka.com/showtopic-8509685.aspx

否则永远没得完的。

天月来了 - 2008-6-6 16:31:00

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<midimaptl><C:\WINDOWS\system32\midimaptl.dll> [File is missing]
<midimapwd><C:\WINDOWS\system32\midimapwd.dll> [File is missing]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

这必须关闭杀毒软件的监控，否则改不了可能
—————————————————————————————————————
因为不认识，所以建议：
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项,将启动类型改为“Disabled”
==================================
服务
[WebClient XML / WebClient XML][Stopped/Auto Start]
<C:\WINDOWS\system32\webcxml.exe><N/A>
————————————————————————————————————
因为不认识，所以建议：
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项,将启动类型改为“Disabled”
==================================
驱动程序
[tqnklh / tqnklh][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\tqnklh><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
{27AC9076-C898-B098-D098-A18319080972} <C:\WINDOWS\system32\nhmxbjkl.dll, N/A>
[]
{35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
{4629FF4F-ACDB-5C90-A098-FACB3456A264} <C:\WINDOWS\system32\mpmydapi.dll, N/A>
[]
{4C648541-1025-9650-9057-6541258720C4} <C:\WINDOWS\system32\mndhddwd.dll, N/A>
[]
{4FD45A54-9875-698F-E56E-65102358FDF4} <C:\WINDOWS\system32\apsgdjba.dll, N/A>
[]
{67FD640A-158F-48AC-FD14-1597F14A9776} <C:\WINDOWS\system32\mndsfsrv.dll, N/A>
[]
{70AF1289-F140-A140-D012-C1458759FC07} <C:\WINDOWS\system32\ypcqfhlp.dll, N/A>
[]
{7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
{81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找ctfmon.exe文件，复制到C:\WINDOWS\system32文件夹里替换。
或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束ctfmon.exe进程。没进程就直接替换。
——————————————————————————————————————
用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，
升级杀毒软件至最新版本全盘杀毒。
记得打打系统漏洞补丁

瑞星卡卡安全论坛