Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL.Agent.mex bbs.ikaka.com

吾猪也 - 2008-6-17 2:01:00

大家好!
我好烦啊,也不知道怎样就染上了这三个病毒,用瑞星是杀不了,现在啊,指望你们了,大师们帮我出出主意,谢了!
病毒信息：
病毒名称路径
1、Trojan.Win32.Undef.gcq C:\WINDOWS\system32\oobe\2896\svchost.exe>>aspack212
2、Trojan.DL.YBHO.a C:\WINDOWS\system32\ kw_wl_lyric_005.exe>>YHBO.dll
3、Trojan.DL.Agent.mex C:\WINDOWS\system32\ kw_wl_lyric_005.exe>>HTTPDll.dll

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

豪斯登堡新郎 - 2008-6-17 2:02:00

点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法：
1、解压缩所下载的"sreng980.zip"压缩包；
2、打开已经解压缩的"SREng980"文件夹，双击运行其中的"SREngPS.exe"；
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”，将日志保存到桌面上；
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

吾猪也 - 2008-6-17 2:24:00

大师,你好!
我已经按照你的方法操作了,你帮我看一下,如何是好?

附件: SREngLOG.log

小九的寒 - 2008-6-17 9:23:00

引用:

原帖由 吾猪也 于 2008-6-17 2:24:00 发表
大师,你好!
我已经按照你的方法操作了,你帮我看一下,如何是好?

1.建议使用XDelBox删除以下文件(XDelBox1.7支持奥运版下载) 下载地址:www.dodudou.com)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\kfq8yb.sys

[2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

启动项目－－服务－－驱动程序之如下项删除：
[kfq8y / kfq8yb] <\SystemRoot\System32\DRIVERS\kfq8yb.sys>

最后建议你去www.360.cn网站下载顽固木马专杀。
再用windows清理助手清理一下系统残余木马。

吾猪也 - 2008-6-17 13:21:00

帮帮忙吧,我对电脑不熟,按照上面这们仁兄的方法操作了,可是到了如下这一步的时候,我找不到<C:\WINDOWS\system32\userinit.exe,> 可能是我看不懂是什么意思吧.急啊!
启动项目－－注册表之如下项删除：
注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

lqqk7 - 2008-6-17 13:35:00

引用:

原帖由 吾猪也 于 2008-6-17 13:21:00 发表
帮帮忙吧,我对电脑不熟,按照上面这们仁兄的方法操作了,可是到了如下这一步的时候,我找不到<C:\WINDOWS\system32\userinit.exe,> 可能是我看不懂是什么意思吧.急啊!
启动项目－－注册表之如下项删除：
注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WIND

其他步骤都做完以后，你再运行sreng，到启动项的时候会弹出一个警告，告诉你userinit被修改为非正常值，这时可以让他自动修复，当然要先禁用监控。

吾猪也 - 2008-6-17 13:42:00

使用SREng时,进入如下这个状态下(附件所示),我应该如何找到" 启动项目－－注册表之如下项删除：
注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

启动项目－－服务－－驱动程序之如下项删除：
[kfq8y / kfq8yb] <\SystemRoot\System32\DRIVERS\kfq8yb.sys>
并进行操作

?

吾猪也 - 2008-6-17 13:51:00

我找不到你们所说的[Userinit]和[kfq8y / kfq8yb] ,所以不会修改和删除,当然不会出现你说的"userinit被修改为非正常值",怎么办呢

lqqk7 - 2008-6-17 13:54:00

如果你选择启动选项的时候没有弹出警告提示就说明userinit已经正常了。

驱动项需要你点“服务”选项卡以后才能看到

吾猪也 - 2008-6-17 14:05:00

我已经把c:\windows\system32\drivers\kfq8yb.sys文件删除了,下一步有劳指教,好吗?

吾猪也 - 2008-6-17 14:14:00

我打开"启动项目--注册表"的时候,出现如下这个提示,这说明什么问题?

吾猪也 - 2008-6-17 14:18:00

版主,你可以加我QQ吗?我好想有个人来帮我搞好它,好烦的,无精打采的,以前知道去学"电脑专业"就好了,QQ号:196857759

天月来了 - 2008-6-17 14:44:00

我签名处木马群那有这类提示的说明

自己看去

文玄 - 2008-6-17 16:50:00

如果AppInit_DLLs显示红色且第二项为ieprot.dll，说明是正常的。那是卡卡上网助手的程序。以前有过说明的。请多关注这个版板，在解决问题的同时也可以提高自己的能力。

吾猪也 - 2008-6-17 21:55:00

老师们好!我真的受不了这电脑了,自己又没有系统驱动盘,要不就自己装了,害得现在看不下书,也没心情看你们的说明,实在是头涨啊,本人正在备战注册会计师考试呢,好烦

吾猪也 - 2008-6-17 21:59:00

QQ远程可以帮我弄吗?有谁想帮我这个忙?

吾猪也 - 2008-6-17 22:11:00

急啊,真不想把这些时间浪费掉,如果可以的话,加我QQ:196857759

豪斯登堡新郎 - 2008-6-17 23:43:00

:kaka3:

我说就那么几个字怎么就看不下去了？？/

“启动项目” －－ “服务”－－ “驱动程序”之如下项删除：
[kfq8y / kfq8yb]

在SRE窗口上就找不到这几个按钮了？？

瑞星卡卡安全论坛