瑞星卡卡安全论坛

今天早起来公司，开电脑半小时左右发现电脑中招。起初瑞星一直说有flash病毒，病毒名称里有SWF字样。我一直点的删除，随后我自定义的系统主题自动变成XP的了，然后瑞星防火墙和杀毒软件同时在右下角消失了。我在百度上查了一下，可能是中了orz病毒。目前经过调试我的防火墙能使，但是杀毒软件已经修复不了了，被我卸载了。我下了你的360专杀，杀了6，7个木马。但是可能orz还是没清除。本来想尝试进安全模式，但是已经进不去了，一直显示一个标识符，但是等了20分钟都进不去。我用sreng分析了一下，发出来你帮忙看一下吧

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件: SREngLOG.log

C:\WINDOWS\system32\dbi100.dll
这个东西比较可疑~

把这个文件复制下，备份到其他地方。把这个改名后重起删除


然后用SRENG
删除注册表中
<{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll>  [N/A]
    <{7629FF4F-ACDB-5C90-A098-FACB3456A267}><C:\WINDOWS\system32\mpmygapi.dll>  [N/A]
    <{4A698102-5904-AFD0-20DF-CD1A65829CA4}><C:\WINDOWS\system32\zycbdime.dll>  [N/A]
    <{7C8D1401-A58D-A81C-CD24-A5915C4517C7}><C:\WINDOWS\system32\mnmhgsrv.dll>  [N/A]
    <{6FD45A54-9875-698F-E56E-65102358FDF6}><C:\WINDOWS\system32\apsgfjba.dll>  [N/A]
把    <AppInit_DLLs><  ,nhmxcjkl.dll>  [N/A]编辑为空

删除    <midimapqn3><>  [N/A]
    <kbdswjr><>  [N/A]
    <midimapzx><>  [N/A]
    <midimaptl><>  [N/A]
    <midimapgj><>  [N/A]
删除启动文件夹
[explorer]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe -->  [N/A]><N>
删除浏览器加载
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {4A698102-5904-AFD0-20DF-CD1A65829CA4} <C:\WINDOWS\system32\zycbdime.dll, N/A>
[]
  {6FD45A54-9875-698F-E56E-65102358FDF6} <C:\WINDOWS\system32\apsgfjba.dll, N/A>
[]
  {7629FF4F-ACDB-5C90-A098-FACB3456A267} <C:\WINDOWS\system32\mpmygapi.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>

修复文件关联

重新安装下瑞星~~

可能系统文件被替换了吧~`

给你个干净的EXPLORER.EXE

你替换下c:\windows\explorer.exe 和c:\windows\system32\dllcache\explorer.exe

附件: explorer.rar

用sreng
删除启动项目=>注册表
    <{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll>  [N/A]
    <{7629FF4F-ACDB-5C90-A098-FACB3456A267}><C:\WINDOWS\system32\mpmygapi.dll>  [N/A]
    <{4A698102-5904-AFD0-20DF-CD1A65829CA4}><C:\WINDOWS\system32\zycbdime.dll>  [N/A]
    <{7C8D1401-A58D-A81C-CD24-A5915C4517C7}><C:\WINDOWS\system32\mnmhgsrv.dll>  [N/A]
    <{6FD45A54-9875-698F-E56E-65102358FDF6}><C:\WINDOWS\system32\apsgfjba.dll>  [N/A]
    <midimapqn3><>  [N/A]
    <kbdswjr><>  [N/A]
    <midimapzx><>  [N/A]
    <midimaptl><>  [N/A]
    <midimapgj><>  [N/A]

删除启动项目=>启动文件夹
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe -->  [N/A]><N>

删除系统修复=>浏览器加载项
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {4A698102-5904-AFD0-20DF-CD1A65829CA4} <C:\WINDOWS\system32\zycbdime.dll, N/A>
[]
  {6FD45A54-9875-698F-E56E-65102358FDF6} <C:\WINDOWS\system32\apsgfjba.dll, N/A>
[]
  {7629FF4F-ACDB-5C90-A098-FACB3456A267} <C:\WINDOWS\system32\mpmygapi.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>

重启,安全模式删除
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\mpmygapi.dll
C:\WINDOWS\system32\zycbdime.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\apsgfjba.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\zycbdime.dll
C:\WINDOWS\system32\apsgfjba.dll
C:\WINDOWS\system32\mpmygapi.dll
C:\WINDOWS\system32\mnmhgsrv.dll

重启后,重新安装杀软..
全盘查杀..

我综合了一下你们的方法进行杀毒，用SREngPS都删除完了，进入安全模式发现没有。那个dbi100的文件我也删除了，系统并无异样。晚上我回家装瑞星试一下，谢谢2位大侠先，现在我们公司瘫痪的电脑更多了……已经快20台了，如果我今天晚上回家装上瑞星，明天会不会还中啊，因为这是个局域网的病毒

局域网里全部打这个补丁了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

我们这网管什么都不会，就会改个IP，我这台没打

有沒有遨游浏览器的补丁呀

不知道了
你可以悄悄话问那贴的版主么:default7:

杀毒软件已经更新完毕，在普通模式下，已经杀了20多个了
但是在安全模式下，瑞星的主动防护是关闭的，就是小伞是红色的。不知道是否正常
正常模式下，雨伞没有问题。

srengps这个软件进去之后，我查启动项，我发现多了很多蓝色进程，大部分都是dll结尾的，不知道是否是病毒。

昨天晚上在安全模式下没杀出病毒，但是在安全模式下使srengps这个软件的时候发现多了好多启动进程，都是蓝色的。还有就是我的默认输入法变成中文了，能不能改回英文呀？

自己属性里设置呗

去系统软件区区问去

现在进系统还会出现“蹦”的一声

不知道了

没见过

滑稽

干脆重装系统得了:default2: