瑞星卡卡安全论坛

Help!!!!!!!
shu  ru fa che di gua diao le :default3:
cong "dllcache" he bie ren dian nao li kao chu lai de "ctfmon.exe" dou bu guan yong:default3:


<IFEO[ctfmon.exe]><SoundMan.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]

zhe liang ge you qi ke yi....

BAN ZHU help me!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: SREngLOG.log

在运行里输入Internat，输入法从右边的系统状态栏出来了，看来我的explorer.exe有很大的问题:default20:

看来要我自己解决了
木马下载器ctfmon.exe2008-04-06 16:31这是一个小巧的下载器（文件大小只有3.63K）。实际上，这个ctfmon.exe就是那个伪Soundman.exe的变种。
其加载方式比较特殊————通过IFEO劫持系统程序ctfmon.exe，使之启动加载时运行windows目录下的病毒程序Soundman.exe。
Soundman.exe访问网络，下载大量木马程序到中招的电脑中。瑞星20.38.50扫tfmon.exe和Soundman.exe，不报毒，仅仅报其下载的一两只木马。汗！

手工查杀流程：

1、打开windows目录下的win.ini，删除下列内容（见图1红框）。保存。
2、将下列文件复制到剪贴板，导入XDELBOX的“待删除文件列表”，用XDELBOX删除下列文件（操作例见图2）：
C:\windows\system32\WSockDrv32.dll
C:\windows\system32\MsIMMs32.dll
C:\windows\system32\mppds.dll
C:\windows\system32\AVPSrv.dll
C:\windows\system32\upxdnd.dll
C:\Program Files\Internet Explorer\PLUGINS\NewSys55.Sys
C:\windows\system32\msepbe.dll
C:\windows\system32\xgnfn.dll
C:\windows\system32\tciocp32.dll
C:\windows\system32\fmsbbqi.dll
C:\windows\system32\msccrt.dll
C:\windows\system32\DbgHlp32.dlL
C:\windows\system32\cmdbcs.dll
C:\windows\system32\wkydulgt.dll
C:\windows\system32\PTSShell.dll
C:\windows\system32\LotusHlp.dll
C:\windows\system32\sehhter.dll
C:\windows\system32\SHAProc.dat
C:\windows\system32\Kvsc3.dll
C:\windows\system32\jzijj.dll
C:\windows\system32\mfchlp32.dll
C:\windows\system32\jwlah.dll
C:\windows\system32\WINSvr32.dll
C:\windows\system32\fjyjy.dll
C:\windows\system32\fehom.dll
C:\windows\MsIMMs32.exE
C:\windows\mppds.exe
C:\windows\AVPSrv.exE
C:\windows\upxdnd.exe
C:\windows\tciocp32.exe
C:\windows\fmsbbqi.exe
C:\windows\msccrt.exe
C:\windows\DbgHlp32.exe
C:\windows\cmdbcs.exe
C:\windows\ywdxmtyz.exe
C:\windows\PTSShell.exe
C:\windows\LotusHlp.exe
C:\windows\WSockDrv32.exe
C:\windows\SHAProc.exe
C:\windows\Kvsc3.exE
C:\windows\mfchlp32.exe
C:\windows\WINSvr32.exE
C:\windows\SoundMan.exe
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmpC.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp9.tmp
C:\windows\system32\drivers\msosfpids32.sys
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp10.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp11.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp1D.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp20.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp22.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp24.tmp
C:\WINDOWS\SYSTEM32\C7.EXE
C:\WINDOWS\SYSTEM32\C8.EXE
C:\WINDOWS\SYSTEM32\C9.EXE
C:\WINDOWS\SYSTEM32\C10.EXE
C:\WINDOWS\SYSTEM32\C19.EXE
C:\WINDOWS\SYSTEM32\C25.EXE
C:\WINDOWS\SYSTEM32\C30.EXE
C:\WINDOWS\SYSTEM32\C32.EXE
C:\WINDOWS\SYSTEM32\C34.EXE
C:\WINDOWS\SYSTEM32\C35.EXE
C:\WINDOWS\SYSTEM32\C36.EXE
3、由于userinit.exe文件被病毒替换，删除上述病毒文件，重启后无法登录系统。再次重启。按本本左上方的蓝键thinkvantage，进入R&R，从系统备份中恢复userinit.exe到system32目录。重启。（此步操作仅仅适用于有R&R备份/还原工具的电脑）
没有R&R工具或没有系统备份者，可以用系统光盘启动系统，用控制台修复系统。
4、重启后，用autoruns查看、比对加载项（图3）。一一删除这些加载项即可。
5、日志中看不到的这些病毒文件（图4），要自己找到并删除。

现在输入法又出来了:default6: