瑞星卡卡安全论坛

今天早上开机防火墙提示有个什么防范蠕虫2003攻击的东西跳出来了，后来不知道怎么回事出现个DOS的一样的程序然后飞速跳掉~之后防火墙就自动关闭了~再然后杀毒软件也开不了了……重启以后什么都没了一 一//不知道中了什么毒……
附上SRE的报告……求助各位大大……



一 一多余的就编辑掉

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14

附件: SREngLOG.log

楼主电脑中毒,从新装吧! 烦恼~~

啊~~~~~俺电脑里面好多东西呢……装新的才麻烦了……
有啥米办法~~~

把扫描报告做成附件上传．．．．

有办法日志格式不对，以附件形式上传

上传好了……一~ 一拜托了

去百度搜了下……不知道是不是中了橙色八月一_一

用xdelbox删除以下文件
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，勾选抑制再生
导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


能直接删除就直接删除，xdelbox要是用不了可以用费尔、瑞星文件粉碎……

C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\kbdswjr.dll
C:\WINDOWS\system32\tdggrz.dll
C:\DOCUME~1\哟哟\LOCALS~1\Temp\1.tmp
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\zefdst.dll
C:\WINDOWS\system32\zgrjdx.dll
C:\WINDOWS\system32\wzcfsw.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\mtewdh.dll
C:\WINDOWS\system32\rfdswc.dll
C:\WINDOWS\system32\cedafb.dll
C:\WINDOWS\system32\tdggrz.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\hhrdxd.dll


sreng->启动项目－》注册表，删除
    <{00050005-0005-0005-0005-00050005BB15}><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <{00120012-0012-0012-0012-00120012BB15}><C:\WINDOWS\system32\kbdswjr.dll>  []
    <{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\WINDOWS\system32\tdggrz.dll>  []
<cliconfgzx><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <kbdswjr><C:\WINDOWS\system32\kbdswjr.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
    <IFEO[360safebox.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    <IFEO[avp.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
    <IFEO[CCenter.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
    <IFEO[Rav.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]
    <IFEO[RavMon.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
    <IFEO[RavMonD.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe]
    <IFEO[RavStub.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
    <IFEO[RavTask.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]
    <IFEO[rfwcfg.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe]
    <IFEO[rfwmain.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe]
    <IFEO[rfwProxy.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]
    <IFEO[rfwsrv.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
    <IFEO[rfwstub.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
    <IFEO[runiep.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe]
    <IFEO[safeboxTray.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe]
    <IFEO[SmartUp.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]


将  <AppInit_DLLs><welldon.dll>  []修改为<AppInit_DLLs><>

sreng－》启动项目－》服务－》驱动程序，删除
[IIS Manager  / IIS Manager ][Running/Manual Start]
  <\??\C:\DOCUME~1\哟哟\LOCALS~1\Temp\1.tmp><N/A>
sreng－》系统修复－》启动文件夹，删除
[explorer]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe -->  [N/A]><N>

大大……那个
最后一步
sreng－》系统修复－》启动文件夹，删除
[explorer]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe -->  [N/A]><N>
系统修复里面没有启动文件夹选项……只有启动选项里面有的……但是启动选项里面没发发现上述文件……
那个还有个小问题就是
将  <AppInit_DLLs><welldon.dll>  []修改为<AppInit_DLLs><>
原来是AppInit_DLLs是名字welldon.dll是数据……那个要修改的是AppInit_DLLs然后刷新了下SRE说AppInit_DLLs被修改为非正常值(默认为空),系统中可能存在病毒..
这样提示没问题吧=-=……


其他都修改完毕了,,鞠躬感谢大大付出

对 是启动文件夹，我记错了
第二个问题就是把<AppInit_DLLs><>置空，本来不是空就有问题了，我是让你修改成空的

啊~重启了一下又发现问题了~~~瑞星是打开了~但是瑞星杀毒软件那个小伞打不开了打开瑞星杀毒软件以后一会就显示错误关闭程序~然后开了SRE上面提示说
入口点错误：CreatProcessA
危险等级高
被以下模块所HOOK
未知模块。目的地址是0x010A1FFD
还有一个是CreatProcessW
不知道这个东西出来要不要紧……

不要紧，这两个是瑞星的
再扫一个日志来看看

哦好的……
新的日志参上

附件: SREngLOG.log

xdelbox删除
C:\15460ad068228e78.dat
sreng——》启动项目－》服务－》驱动程序删除
[15460ad068228e78 / 15460ad068228e78][Stopped/Manual Start]
  <\??\C:\15460ad068228e78.dat><N/A>



我得去大毛那上政治课，如果还有问题找其他大大解决:kaka6:

大大俺对不起你……按照你教的解决,,,,,情况还是老样子……打开瑞星杀毒软件以后照样程序出错关闭~
小伞还是红的T^ T
扫上>>伤心的日志

附件: SREngLOG.log

杀毒软件卸载重装

=一=这个好是好……
可是俺的瑞星是2005年的~一直混到现在……要把2005装上估计要跨好几年的重启……T.. T
重装……

有瑞星盒装版的ID和SN的话，直接卸载瑞星后到http://www.rising.com.cn去下瑞星2008安装包重装（注意，不要下错了，一是不要下载下载版，二是看清楚安装包的说明），只要略微花点时间在线升级到最新版本就行了……:default2:

非常感谢各位大大……

一_一各位大大~重装瑞星后依然无法打开……俺默……防火墙和监控中心的exe也是一晃而过……

我签名处整个2.6版的SRENG日志来。

多灾多难的日志参上……
用SRE看了下原来删掉的红色的东西又出来了……
而且比上次多了好多……
怪不得日志又膨胀了

附件: SREngLOG.log

呵呵！！！

你刚才做了什么事情？？

又一堆毒了。

仔细想想，除了安装瑞星软件，还开了什么网页？？？

是在局域网中么？？？

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

瑞星官网下载木马群工具处理
http://dl.rising.com.cn/DownLoadInfo/2008-06-18/1213783336d47779.shtml

或者我置顶木马群清理。
http://bbs.ikaka.com/showtopic-8504511.aspx

清理完以后，

去我签名处折腾个2.6版的SRENG日志来打扫残余。（点右键菜单“目标另存为”下载）（需要自己输入授权信息）

哭死……俺也没做啥~就是打开火狐下载东西……然后百度……
不知道怎么中上的5555555555555~
那个补丁在打，它停在一半了，瑞星的那个打上了扫出好多木马……
不知道有没有被杀死

附件: SREngLOG.log

那个补丁不打

你几乎开任何网页都可能中的。

其中奖率达70%

所以你开火狐下载东西……然后百度……

那还不完蛋。

你这新日志是使用瑞星那专杀清理过以后的结果？？？

还是折腾我的那个木马群清理吧

是不是用W i n d o w s 清 理 助 手 啊……因为有好多连接看得眼花缭乱

你必须耐心看

如果你没耐心看，那么任何人都帮不了你的。

因为这区就我一人在这。

呵呵！！！

俺很耐心滴看了……=一=毕竟不是专门学电脑……好多东西都看不懂……好像看天书~就边看边猜的在那边倒弄倒弄~~
不过非常感谢大大~~~瑞星的防火墙和小伞都打开了~~~这个东西真厉害哇~~~
鞠躬感谢……
这下应该没有木马了吧?

日志呢？？

你搞什么！！！！

新日志呀！！！！！！！

算了

等半天还不见日志

以后俺再不管你了:default3:

一_一大大你别激动撒~~~俺电脑慢的很而且东西又多开机要老半天~刚刚网络又连不上~~~天大的冤枉呐呜呜呜呜呜TOT
大大不会丢弃俺吧……

附件: SREngLOG.log