瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中了AV终结者变种,请大家帮忙看看
331941331 - 2008-6-14 19:48:00
请大家帮帮忙,电脑中了一种很厉害的病毒.一些关于病毒的网站打开就变成雅虎.瑞星,360,SRENG,都不能用了,冰刃可用.用金山的AV终结者专杀,显示发现AV终结者变种Z和BROKON_SAFEBOOT.重装系统还是没有用.请大家帮帮忙给我看看吧!感谢了!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;  Embedded Web Browser from: http://bsalsa.com/; TheWorld)
子艳 - 2008-6-14 20:38:00
楼主下载了金山AV专杀应该可以搞定的啊,断网进安全模式杀几次。
不行就请看下http://bbs.ikaka.com/showtopic-8417665.aspx这贴子。
接里面的链接下载扫日志的工具扫个日志上来吧。
豪斯登堡新郎 - 2008-6-14 21:17:00
点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法:
1、解压缩所下载的"sreng980.rar"压缩包;
2、打开已经解压缩的"SREng980"文件夹,双击运行其中的"我爱新郎.com";
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”,将日志保存到桌面上;
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示:
1、扫描日志前请先关闭所有打开的软件(如QQ、迅雷等程序和IE窗口,注意,是关闭而不是最小化窗口)
2、注意在没有进一步提示前,请勿用SRENG工具胡乱修复,否则系统可能变的情况更糟。
marllly - 2008-6-14 21:18:00
安全模式早就进不了的。
子艳 - 2008-6-14 22:00:00


引用:
原帖由 marllly 于 2008-6-14 21:18:00 发表
安全模式早就进不了的。


具体什么情况说说。导至进不了安全模式的原因也是有多方面的呢。有些能进正常模式却进不了安模式。
就这么一句话太深了
331941331 - 2008-6-14 22:06:00
双击运行的"我爱新郎.com时出现'应用软件异常......(0x0000409),位置为0x7c936310"这是怎么回事?
超级游戏迷 - 2008-6-14 22:16:00
先下载我签名处的WINDOWS清理助手运行下,搞掉一批恶意进程后,再尝试运行SRENG扫描工具
豪斯登堡新郎 - 2008-6-14 22:18:00
重新下载

解压后复制“我爱新郎.com”粘贴到c:\ 目录下

依次点“开始”  “运行”  输入  c:\我爱新郎.com /escan

然后将稍候在桌面生成的 SREngLogEm.log文件以附件形式上传

如果该参数不行  同样点 开始  运行  输入  c:\我爱新郎.com /safedesktop

此时如果可运行的话会造成桌面只有背景  那是正常情况  两个英语提示框全部确定后出现SRE窗口,依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”,将日志保存到桌面上,然后把日志文件以附件形式上传

如果以上俩参数都不可用,http://it.rising.com.cn/service/technology/rs_ravdetect.htm 到这里下载软件  按照网页上的方法扫描日志上传
331941331 - 2008-6-15 10:00:00
重新下载我爱新郎.com,运行是还是说(0x0000409),位置为0x7c936310,下了瑞星听诊器什么都没查出来,怎么办
子艳 - 2008-6-15 10:03:00


引用:
原帖由 331941331 于 2008-6-15 10:00:00 发表
重新下载我爱新郎.com,运行是还是说(0x0000409),位置为0x7c936310,下了瑞星听诊器什么都没查出来,怎么办



请看8楼后面的
331941331 - 2008-6-15 10:11:00
可以扫描了,

附件: SREngLOG.log (2008-6-15 10:11:27, 34.42 K)
该附件被下载次数 111

天月来了 - 2008-6-15 10:29:00
时间异常:2007-06-15,10:10:58
——————————————————————————————
文件异常:
D:\qq\atkvoz.dll
D:\qq\WSOCK32.DLL
C:\WINDOWS\system32\tmd.dll
——————————————————————————————
项目异常:

启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <yri><C:\WINDOWS\system32\tmd.dll>  []
/install>  [File is missing]
==================================
驱动程序
[KernelCheck / KernelCheck][Stopped/Manual Start]
  <\??\C:\DOCUME~1\lvcheng\LOCALS~1\Temp\ptgy\KpCheck.sys><N/A>

[mv614x / mv614x][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\mv614x.sys><N/A>
——————————————————————————————————————
文件不明:
C:\WINDOWS\system32\lev.dll
C:\WINDOWS\system32\xqh.dll

都自己看看去,可能需要彻底卸载所有QQ软件了。
超级游戏迷 - 2008-6-15 10:32:00
可疑注册表项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <yri><C:\WINDOWS\system32\tmd.dll>  []

可疑驱动程序:
[mv614x / mv614x][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\mv614x.sys><N/A>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\drivers\npf.sys><N/A>

可疑文件:
D:\qq\atkvoz.dll
C:\WINDOWS\system32\tmd.dll
C:\WINDOWS\system32\DRIVERS\mv614x.sys
C:\WINDOWS\system32\lev.dll
C:\WINDOWS\system32\xqh.dll

建议:
1、卸载掉你的QQ,删除QQ安装目录,到官方下安装包,重装QQ;
2、把红色显示的文件发“可疑文件交流区”鉴定下,怀疑为伪装微软数字签名的病毒。
331941331 - 2008-6-15 10:57:00
上面说的几的DLL文件都删不了,杀毒软件还是不能装,接下来应该怎么办?
天月来了 - 2008-6-15 11:13:00
文件的删除可以看这里:http://bbs.ikaka.com/showtopic-8442813.aspx

同时QQ目录里的那两文件,你不能想先删,后再卸载QQ。
你最好先卸载QQ软件,并手工删除其安装目录里的所有残余文件。
331941331 - 2008-6-15 11:25:00
用费马删除WSOCK32.DLL和atkvoz.dll的时候名字变成了wsock32.dll.0DEL.VIR和atkvoz.dll.0DEL.VIR,  QQ和QQ游戏已经全部删除了,就是QQ文件夹里还有这两个文件.另外系统时间是我改的,是为了让SReng不过期.又扫了一遍

附件: SREngLOG.log

附件: SREngLOG.log
331941331 - 2008-6-15 12:51:00
怎样才能解决安装杀毒软件的问题.
1
查看完整版本: 中了AV终结者变种,请大家帮忙看看
© 2000 - 2026 Rising Corp. Ltd.