瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中毒了,向高手求助!!!
heenshi - 2008-6-21 19:02:00
电脑中毒了,XP系统。无法粘贴复制,无法建立网络连接,无法使用搜索.请高手帮助!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; InfoPath.1)

附件: SREngLOG.log
aaccbbdd - 2008-6-21 19:11:00
该方案由菜鸟

提供,有危险

删除 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的
<{AA59145F-315D-BC23-AC1F-145DF81A34AA}><C:\WINDOWS\system32\zyzxjime.dll>  [N/A]
    <{14698742-2059-3025-9058-954023874141}><C:\WINDOWS\system32\jkhxaklo.dll>  [N/A]
    <{6A041F13-A111-12A3-B0CF-F99818AA68A6}><C:\WINDOWS\system32\zxmscwin.dll>  [N/A]
    <{5E091341-6715-2098-51F0-178367AE53E5}><C:\WINDOWS\system32\fgfsakuy.dll>  [N/A]
    <{7C8D1401-A58D-A81C-CD24-A5915C4517C7}><C:\WINDOWS\system32\mnmhgsrv.dll>  [N/A]
    <{55694105-5108-9405-3695-954187462155}><C:\WINDOWS\system32\mpwdeapi.dll>  [N/A]
    <{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}><C:\WINDOWS\system32\oohxdbyt.dll>  [N/A]
    <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll>  [N/A]
    <{50940F85-F015-14F1-A05F-F69858AC6D05}><C:\WINDOWS\system32\zptlcsys.dll>  [N/A]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  [N/A]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jggtsr.dll>  [N/A]
    <{6629FF4F-ACDB-5C90-A098-FACB3456A266}><C:\WINDOWS\system32\mpmyfapi.dll>  [N/A]
    <{43512378-9874-5641-1025-985420368734}><C:\WINDOWS\system32\oswxdttb.dll>  [N/A]
    <{60A345CD-ABCD-EFAB-CDEF-ABCD01020306}><C:\WINDOWS\system32\pqzfajke.dll>  [N/A]
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  [N/A]
    <{9490415F-65F8-B5C5-D8BA-9405FB120549}><C:\WINDOWS\system32\yzztimsn.dll>  [N/A]
删除浏览器加载项
{43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5E091341-6715-2098-51F0-178367AE53E5} <C:\WINDOWS\system32\fgfsakuy.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {6629FF4F-ACDB-5C90-A098-FACB3456A266} <C:\WINDOWS\system32\mpmyfapi.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5E091341-6715-2098-51F0-178367AE53E5} <C:\WINDOWS\system32\fgfsakuy.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
[]
  {AA59145F-315D-BC23-AC1F-145DF81A34AA} <C:\WINDOWS\system32\zyzxjime.dll, N/A>

并删除相关文件
一直在学习的人 - 2008-6-21 19:16:00
1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\smservice.exe
c:\windows\system32\msetion.dll
c:\windows\system32\yzztimsn.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\pqzfajke.dll
c:\windows\system32\oswxdttb.dll
c:\windows\system32\mpmyfapi.dll
c:\windows\system32\jggtsr.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\zptlcsys.dll
c:\windows\system32\rfdswc.dll
c:\windows\system32\oohxdbyt.dll
c:\windows\system32\mpwdeapi.dll
c:\windows\system32\mnmhgsrv.dll
c:\windows\system32\fgfsakuy.dll
c:\windows\system32\zxmscwin.dll
c:\windows\system32\jkhxaklo.dll
c:\windows\system32\zyzxjime.dll
"f:\autorun\autorun.exe"
c:\windows\system32\servers.exe
c:\windows\temp\tmp2.tmp
c:\windows\system32\ietool.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{9490415F-65F8-B5C5-D8BA-9405FB120549}]    <C:\WINDOWS\system32\yzztimsn.dll>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <C:\WINDOWS\system32\cedafb.dll>
[{60A345CD-ABCD-EFAB-CDEF-ABCD01020306}]    <C:\WINDOWS\system32\pqzfajke.dll>
[{43512378-9874-5641-1025-985420368734}]    <C:\WINDOWS\system32\oswxdttb.dll>
[{6629FF4F-ACDB-5C90-A098-FACB3456A266}]    <C:\WINDOWS\system32\mpmyfapi.dll>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jggtsr.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{50940F85-F015-14F1-A05F-F69858AC6D05}]    <C:\WINDOWS\system32\zptlcsys.dll>
[{461D2AB4-29A5-45C2-9134-D52272D3DE38}]    <C:\WINDOWS\system32\rfdswc.dll>
[{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}]    <C:\WINDOWS\system32\oohxdbyt.dll>
[{55694105-5108-9405-3695-954187462155}]    <C:\WINDOWS\system32\mpwdeapi.dll>
[{7C8D1401-A58D-A81C-CD24-A5915C4517C7}]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[{5E091341-6715-2098-51F0-178367AE53E5}]    <C:\WINDOWS\system32\fgfsakuy.dll>
[{6A041F13-A111-12A3-B0CF-F99818AA68A6}]    <C:\WINDOWS\system32\zxmscwin.dll>
[{14698742-2059-3025-9058-954023874141}]    <C:\WINDOWS\system32\jkhxaklo.dll>
[{AA59145F-315D-BC23-AC1F-145DF81A34AA}]    <C:\WINDOWS\system32\zyzxjime.dll>
注意该项[AppInit_DLLs]修改:把<yzztimsn.dll>修改为<>即清空
[AutoRun]    <"F:\AUTORUN\AutoRun.exe" "/5">
    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[CurrentContSetione / Win32ite]    <C:\WINDOWS\system32\servers.exe>
[smService / smService]    <C:\WINDOWS\system32\smService.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[dchs / dchs]    <\??\C:\WINDOWS\TEMP\tmp2.tmp>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINDOWS\system32\zyzxjime.dll>
[]    <C:\WINDOWS\system32\yzztimsn.dll>
[]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[]    <C:\WINDOWS\system32\zxmscwin.dll>
[]    <C:\WINDOWS\system32\mpmyfapi.dll>
[番茄工具条 3.0]    <C:\WINDOWS\system32\IETool.dll>
[]    <C:\WINDOWS\system32\pqzfajke.dll>
[]    <C:\WINDOWS\system32\fgfsakuy.dll>
[]    <C:\WINDOWS\system32\oohxdbyt.dll>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\zptlcsys.dll>
[]    <C:\WINDOWS\system32\oswxdttb.dll>
[]    <C:\WINDOWS\system32\jkhxaklo.dll>
[番茄工具条 3.0]    <C:\WINDOWS\system32\IETool.dll>
[]    <C:\WINDOWS\system32\zyzxjime.dll>
[]    <C:\WINDOWS\system32\yzztimsn.dll>
[]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[]    <C:\WINDOWS\system32\zxmscwin.dll>
[]    <C:\WINDOWS\system32\mpmyfapi.dll>
[]    <C:\WINDOWS\system32\pqzfajke.dll>
[]    <C:\WINDOWS\system32\fgfsakuy.dll>
[]    <C:\WINDOWS\system32\oohxdbyt.dll>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\zptlcsys.dll>
[]    <C:\WINDOWS\system32\oswxdttb.dll>
[]    <C:\WINDOWS\system32\jkhxaklo.dll>
DoctorLc - 2008-6-21 19:42:00
既然两位都看了日志了,那我就不看了。飘过~~~~~~~:default5:
heenshi - 2008-6-21 20:44:00
"该方案由菜鸟提供,有危险"
可信吗? 是什么病毒引起的?这么厉害
aaccbbdd - 2008-6-21 20:45:00
应该没太大的问题

自己决定吧

我对瑞星软件比较熟悉
对病毒就。。。。。。。。。。。。。。
heenshi - 2008-6-21 20:51:00
如何进入注册表?直接删除相应文件就可以了吗?两种方案谁的更好一些?你的还是一直在学习的人
aaccbbdd - 2008-6-21 21:08:00
他的吧
但都不全面,版主不在呀。。

看看这个
http://bbs.ikaka.com/showtopic-8442813.aspx
为什么是马甲 - 2008-6-21 21:14:00
[smService / smService]    <C:\WINDOWS\system32\smService.exe>

这个没问题..
一直在学习的人 - 2008-6-21 21:18:00


引用:
原帖由 为什么是马甲 于 2008-6-21 21:14:00 发表
[smService / smService]    <C:\WINDOWS\system32\smService.exe>

这个没问题..




当时搜到这个文件是番茄藤的保护进程。番茄藤是番茄花园开发的番茄花园更新辅助程序,方便以后番茄系统遇到漏洞问题,可以及时采取更新提示,并且可以提供主题资源,番茄软件更新等等之类的更新。如果有需要更新,会提示友好界面提示,询问用户是否需要更新一些程序和补丁。

http://www.processlib.net/files/smService.exe.html

觉得是个无关紧要的文件。
aaccbbdd - 2008-6-21 21:19:00


引用:
原帖由 heenshi 于 2008-6-21 20:51:00 发表
如何进入注册表?直接删除相应文件就可以了吗?两种方案谁的更好一些?你的还是一直在学习的人


开始-运行
输入
regedit
heenshi - 2008-6-22 9:29:00
注意该项[AppInit_DLLs]修改:把<yzztimsn.dll>修改为<>即清空
---这项无法修改!!!
aaccbbdd - 2008-6-22 9:32:00
试试金山清理专家的安全百宝箱的系统修复工具

它能修复该项的
天月来了 - 2008-6-22 9:39:00


引用:
原帖由 heenshi 于 2008-6-22 9:29:00 发表
注意该项[AppInit_DLLs]修改:把<yzztimsn.dll>修改为<>即清空
---这项无法修改!!!


可能需要关闭所有杀毒软件的监控,才能修改呢

否则杀毒软件的监控可能阻止修改。
aaccbbdd - 2008-6-22 9:40:00
:kaka2: :kaka2: 是关闭主动防御吧
heenshi - 2008-6-22 10:08:00
已经按照"一直在学习的人"的操作了,但故障依旧.
heenshi - 2008-6-22 10:09:00
日志直接以附件形式发来

谢谢配合论坛管理
天月来了 - 2008-6-22 10:14:00
日志直接以附件形式发来
heenshi - 2008-6-22 10:17:00
帮忙看看,多谢!

附件: SREngLOG.log
天月来了 - 2008-6-22 10:26:00
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找ctfmon.exe和Explorer.exe和userinit.exe,文件。
将Explorer.exe文件复制到C:\WINDOWS\文件夹里替换。
将ctfmon.exe和userinit.exe文件复制到C:\WINDOWS\system32文件夹里替换。

或者这贴里找相关文件下载。

http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束将ctfmon.exe和Explorer.exe和userinit.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器,结束相关进程。
在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空(就是选择“编辑”)这必须关闭杀毒软件的监控,否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

必须关闭杀毒软件。
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {14698742-2059-3025-9058-954023874141} <C:\WINDOWS\system32\jkhxaklo.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5E091341-6715-2098-51F0-178367AE53E5} <C:\WINDOWS\system32\fgfsakuy.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {14698742-2059-3025-9058-954023874141} <C:\WINDOWS\system32\jkhxaklo.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5E091341-6715-2098-51F0-178367AE53E5} <C:\WINDOWS\system32\fgfsakuy.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

杀毒软件如果有异常,可能需要卸载重装,升级至最新版本全盘杀。

其他任何个人软件的异常,都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx
heenshi - 2008-6-22 11:16:00
已将杀毒软件卸载,并照建议进行了操作,但好象没有什么改善.再次俯上扫描日志,请帮助!!!

附件: SREngLOG.log
一直在学习的人 - 2008-6-22 14:06:00
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ctfmon.exe
c:\windows\explorer.exe
c:\windows\system32\explorer.exe
c:\windows\system32\userinit.exe,
"c:\program files\rising\rav\ravmond.exe"
"c:\program files\rising\rav\ccenter.exe"

上述几个文件怀疑被替换了,建议你先将它们上传至这个网站(参考这个帖子 http://bbs.ikaka.com/showtopic-8512587.aspx 检测一下,然后把检测的结果贴上来,大家再分析一下.
天月来了 - 2008-6-22 14:45:00
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe

上面四个文件不知道到底还是不是系统自身的了。

你现在到底感觉还有什么不行的???
heenshi - 2008-6-22 14:49:00
以上文件都已经替换了,但故障依旧,无法复制粘贴,无法建立连接,无法搜索,IE打开后一闪而过.
天月来了 - 2008-6-22 15:33:00
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe

这四个文件还得再替换

如果还不行,可能系统已经破坏严重

没本事恢复了。

重装新系统吧

要不你试试:

在扫日志的SRENG工具》系统修复》高级修复》Windows Shell/IE全选,修复

重启电脑看怎样
heenshi - 2008-6-22 20:28:00
多谢各位了,实在折腾不起了,已经在下午重装系统了。跟大家学到很多知识,谢谢了!
1
查看完整版本: 中毒了,向高手求助!!!
© 2000 - 2026 Rising Corp. Ltd.