瑞星卡卡安全论坛

昨天上网的时候瑞星防火墙弹出什么orz。exe怎么哦，我就按了拒绝，这个时候我有个同学要和我语音，因为电脑比较慢，我也比较着急，后来防火墙又弹了个什么东西出来我就直接允许了，也没看，然后瑞星马上报有毒，问我怎么处理，我也忘了我有没有处理，马上电脑就关机了，我就开安全模式，本想瑞星既然已经把那毒杀了，我就用我下的windows安全助手清理一下，清理出来是windows文件夹下有个conime.exe木马，我看他既然清理了，而且那个好像有段时间没有更新了，我就想重启到正常模式，然后升级再杀。结果我到正常模式后瑞星杀毒软件右下角也没有显示，防火墙还在。不过弹出来windows下的conime.exe想要连接到网络，问是否允许，我就选了总是阻止。然后我打开windows清理助手想要升级，没想到先说网络连接不上，后来就自动被关闭了。然后发现他的执行文件被删，我又想瑞星杀毒软件，也打不开，虽然没有被删掉。我又下了安全卫士，还有毒霸什么东西哦，不是安装不了，就是打开不了，然后我同学建议我用其他的木马查杀软件，包括av终结者专杀等小软件，扫描日志那个小软件，全部执行文件都被删掉了。然后我看到网上说结束orz.exe进程，但是我看到我的进程里没有这个进程，只有在windows的temp文件夹里有个orz.exe文件，被我删掉了，我也用超级兔子把临时文件清理了一下。另外在此之间我想进入安全模式，但是已经进不去了，显示蓝色版面，英文写的：如果你第一次看到这个请重启试试，如果不是请检查是不是有毒........
我想上网查有关病毒消息，百度等网页可以打开，但是像瑞星的在线查杀，毒霸的论坛等，网页就自动跳到yahoo的搜索引擎页面...求各位大虾救命啊~~~

我的主要麻烦就是 好像中了orz.exe病毒，所有杀毒软件打不开，安全模式进不了~~
:kaka4:
先谢谢各位大虾了！！！:kaka18:





----------------------------------------
经过天月的帮助，终于把日志扫出来了，为了方便，我在这里也贴一份

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

附件: 瑞星听诊信息.rar

附件: SREngLogEm.LOG

sreng也打不开~~无法传日志了

我签名处的那个后台运行的SRENG试试


如果还不行，就：


这里官网下载瑞星听诊器：放桌面，改名运行，扫出来的日志也自动生成在桌面上，压缩发这论坛来。
http://it.rising.com.cn/Channels/Service/2006-07/1153115164d21020.shtml

好的，谢谢你，因为家里的电脑已经不能开这个论坛了，会直接跳转到yahoo，所以我今天是在公司发的贴，只有把这个下回去，明天贴日志来请斑竹帮忙了

如果你的帖子沉了，版主没看到的话。

那你就给版主发悄悄话。并记得把你这个帖子的连接，写入短消息

谢谢版主！！！:default66:

不过我想说天月的签名下面的
自动后台运行的2.5版的SRENG工具（当SRENG工具不能正常启动时尝试）
怎么下不了呢？:default27:

不可能
我一点就下载了

你右键菜单选另存为试试。

或者这贴2楼看：
http://bbs.ikaka.com/showtopic-8442813.aspx

可以自己弄后台运行。

谢谢天月，我点目标另存为就可以了，刚开始都是直接点击，然后迅雷出来下的，所以下出来都不对

这就是习惯下载器的麻烦之处:default2:

还有我签名处的360的木马专杀也下载玩去吧。

好的，我准备把这些改名字试试，我怎么看了论坛里觉得我不知中了那个orz还中了木马群啊，晚上或者明天还得请教各位了

自己有耐心，就慢慢看看去：

http://hi.baidu.com/litiejun/blog/item/c27cbc1621e63f54f3de32ed.html
http://hi.baidu.com/litiejun/blog/item/2214aad4ecc81704a08bb725.html
http://hi.baidu.com/litiejun/blog/item/fa64528d96639c17b31bbae5.html
http://hi.baidu.com/litiejun/blog/item/c39b3f17bc6510044b90a730.html
http://hi.baidu.com/litiejun/blog/item/162b700f58df7d2f6059f3f7.html

谢谢，我的flash那个昨天已经升级了，我看的那些方法必然升级杀毒软件啊我是根本就升级不了啦，也打不开。只有下磁碟机专杀然后改名字试试看，而且最主要我现在在电脑里也看不到orz。exe这个东西了，一直进程里就没有，temp里有个被我删了也没有出现

总之谢谢了，我晚上回去再试试

今天在网上搜了半天，下了几个小软件，包括版主推荐的360的那个，还是全部被病毒吃了，我也把名字改为123.exe了，还是一运行就没有了~~~郁闷~~
不过终于把日志扫出来了，很感谢天月给我的瑞星听诊器和后台运行的sreng都可以运行，我把日志贴上来了，希望再帮我看一下（为了方便起见我在1楼和这里都贴上日志吧）

附件: SREngLogEm.LOG

附件: 瑞星听诊信息.rar

对了，qq医生还可以打开，而且他也老是弹出来windows里的conime.exe有问题，是下载器，是盗号木马
win32.downloader.rvdog.f
但是我怎么也删不掉
我查了下是机器狗木马，但是专杀工具我也用不了，总是会被删

你作好所有准备以后，一定要断网处理。

这个文件异常：C:\WINDOWS\system32\ntoskrnl.exe，你得自己去看看到底是什么东西？是否系统文件被病毒替换呢？愿意的话，做完下面的，记得去将它改个名。
——————————————————————————————————————————————
你可能需要卸载QQ软件了，否则处理完后，QQ软件可能不能运行。
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\conime.exe
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\arjrbler.dll
C:\WINDOWS\system32\pqzfajke.dll
C:\WINDOWS\system32\lijzelit.dll
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\szluk.dll
C:\Program Files\Tencent\QQ\zgsbru.dll
C:\Program Files\Tencent\QQ\WSOCK32.DLL

如果费尔不能启动，就试试：
这里下载360文件粉碎工具，删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html

不论删除结果如何，立即重启电脑，千万不能犹豫。
重启电脑以后：
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。

或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束Explorer.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器，结束相关进程。

在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。
记得替换完以后再去删除：C:\WINDOWS\system32\Explorer.exe
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
    <{60A345CD-ABCD-EFAB-CDEF-ABCD01020306}><C:\WINDOWS\system32\pqzfajke.dll>  []
    <{18093456-9012-4568-9076-908765467181}><C:\WINDOWS\system32\tisqatyu.dll>  []
    <{4C69034A-F45F-D34D-A33A-C33C4D324FC4}><C:\WINDOWS\system32\arjrbler.dll>  []
    <{00170017-0017-0017-0017-00170017BB15}><C:\WINDOWS\system32\msobjstl.dll>  [N/A]
    <{5C954872-1230-6541-9548-6541025884C5}><C:\WINDOWS\system32\lijzelit.dll>  []
    <{55694105-5108-9405-3695-954187462155}><C:\WINDOWS\system32\mpwdeapi.dll>  [N/A]
    <{3A908760-8000-4000-A000-9000322145A3}><C:\WINDOWS\system32\akjsckaq.dll>  [N/A]
    <{6A041F13-A111-12A3-B0CF-F99818AA68A6}><C:\WINDOWS\system32\zxmscwin.dll>  [N/A]
    <xeqzp><C:\WINDOWS\system32\szluk.dll>  []
    <midimapmy><C:\WINDOWS\system32\midimapmy.dll>  [N/A]
    <msobjstl><C:\WINDOWS\system32\msobjstl.dll>  [N/A]
    <N/A><C:\WINDOWS\system32\yel\lsass.exe /t>  []
    <IFEO[QQUpdateCenter.exe]><debugfile.exe>  [N/A]
————————————————————————————————————————————————
这个项目是虾米东西呢？？？呵呵！！！！
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    <Microsoft Windows Media Player><C:\WINDOWS\inf\unregmp2.exe /ShowWMP>  [(Verified)Microsoft Windows Component Publisher]
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {4C69034A-F45F-D34D-A33A-C33C4D324FC4} <C:\WINDOWS\system32\arjrbler.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5C954872-1230-6541-9548-6541025884C5} <C:\WINDOWS\system32\lijzelit.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
[]
  {18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {4C69034A-F45F-D34D-A33A-C33C4D324FC4} <C:\WINDOWS\system32\arjrbler.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5C954872-1230-6541-9548-6541025884C5} <C:\WINDOWS\system32\lijzelit.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

文件和项目的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

在瑞星听诊器日志中。

除了继续发现它不懂以外c:\windows\system32\ntoskrnl.exe

还有继续发现进程里那么多的：
c:\windows\system32\tisqatyu.dll
c:\windows\system32\arjrbler.dll
c:\program files\tencent\qq\zgsbru.dll
c:\windows\system32\szluk.dll
c:\windows\conime.exe
c:\windows\system32\pqzfajke.dll
c:\windows\system32\lijzelit.dll

上面看到的都在SRENG日志里看到了。不过这两玩意SRENG日志里竟然没看见有。
c:\windows\system32\krdmc.dll
c:\windows\system32\wdpyo.dll

这俩文件正常么？？？

我怀疑你按照我上面的处理，不一定能成功。

因为它俩的存在。呵呵！！！！

你帮我么，先按照上面的处理。

如果还不行，再考虑这俩东西到底嘛玩意。

好奇哩。想拿你做个试验，愿意么？

一定要做好充份的准备哦。

因为你不能很好的开网页嘛

断网也很重要

因为你的桌面程序Explorer.exe已被病毒替换

天月版主，不好意思啊，昨天晚上我断网在弄，一直没有看到你告诉我的这些，我是用了 流行病毒专区 置顶的帖子里面的 木马群处理程序，重启后就像刚装杀毒软件一样的装了瑞星的后面几步，所以看到了杀毒软件了，很高兴，没想到几秒中后又被关了~~~
后来我就断网，加上用你有个帖子里的一个solo工具，好像是就是用另一种方式运行windows清理助手吧（恕我菜鸟），虽然清理了好几次都清理不干净，不过我又用 木马群处理程序 ，重启后杀毒软件又出来了，而且也没有被关掉，我就开始杀毒了，并用了windows清理助手，360的木马专杀等小工具杀，安全模式也进去了，不过一切都是断网下进行的，还不知道连网了怎么样，我今天晚上回去看一下，如果有问题就用你以上说的方法，愿意做试验，呵呵，反正我每天对着电脑也不知干嘛，这两天杀毒还真充实，哈哈

好玩

你最后记得扫描个我签名处的2.6版的SRENG日志来看看。:default7:

哈哈，好的，到时候还得请你帮我看看我电脑回复正常了没有呢

天月，今天果然打不开qq了~~~~:default29: :default2: :default21:
不过照你说的删那些东西（有的东西没找到，可能太不仔细啦，哈哈）
就是qq文件夹里有两个，有个没找到，有个找到了，删了qq就能打开啦
你说的那个不知是什么东东的玩意我试着打开他，可是他说不能在win32模式下运行~~我也不知是什么东东~
那个管理桌面那个进程我也换了，是在你给的那个帖子里下的
我重新用2.6扫了个日志上来给你看看，今天好像上网都还正常~

附件: SREngLOG.log

麻烦天月给我看看日志好没有啊

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{60A345CD-ABCD-EFAB-CDEF-ABCD01020306}><C:\WINDOWS\system32\pqzfajke.dll>  [File is missing]
    <{00170017-0017-0017-0017-00170017BB15}><C:\WINDOWS\system32\msobjstl.dll>  [File is missing]
    <{5C954872-1230-6541-9548-6541025884C5}><C:\WINDOWS\system32\lijzelit.dll>  [File is missing]
    <{3A908760-8000-4000-A000-9000322145A3}><C:\WINDOWS\system32\akjsckaq.dll>  [File is missing]
    <xeqzp><C:\WINDOWS\system32\szluk.dll>  [File is missing]
    <msobjstl><C:\WINDOWS\system32\msobjstl.dll>  [File is missing]r]
    <N/A><C:\WINDOWS\system32\yel\lsass.exe /t>  []
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {5C954872-1230-6541-9548-6541025884C5} <C:\WINDOWS\system32\lijzelit.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {5C954872-1230-6541-9548-6541025884C5} <C:\WINDOWS\system32\lijzelit.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

系统无异常就行了，以后有机会去重装个新系统吧。

用解压工具WinRAR依路径打开找这两文件。
c:\windows\system32\krdmc.dll
c:\windows\system32\wdpyo.dll

找到后压缩发到论坛来。

找不到就算了。