瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中了毒..杀了又出现..郁闷死
小ˇ儍孖 - 2008-7-6 8:35:00
...上硅谷...就中了毒...Hack.exploit.swf.a...然后电脑直接重启..重启接着开RISING查杀...杀完了...在上网...1连接...就又跳病毒...饿...好象是木马...Trojan.PSW.Win32.GameOL.oou...啊什么什么的...多的来...还有AdWare.Win32.Agent.bvj...都不知道是什么东西...- -|||...网上查了...用什么群杀的那个用好后..在杀了1遍...还有...郁闷死了...游戏都不敢玩了...

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)
小ˇ儍孖 - 2008-7-6 8:44:00
这是监控导出的...拜托了

附件: 123.rar
DoctorLc - 2008-7-6 8:51:00
使用SRENG扫份系统日志,关闭系统还原。
小ˇ儍孖 - 2008-7-6 9:00:00
.....SORRY.....用那个...结果卡住了....=1会儿....:default2: 我1开始还 还原过..失败..这没事吧?
还原已经关闭了
小ˇ儍孖 - 2008-7-6 9:16:00
刚又死了......重启了下....又狂跳病毒了...汗
不知道这个对不对...打开那东西...说之前什么什么可能由于病毒或什么什么...用紧急扫描....得到的...

附件: SREngLogEm.LOG
小ˇ儍孖 - 2008-7-6 9:23:00
这是刚刚有打开扫描1遍的结果

附件: SREngLOG.log
DoctorLc - 2008-7-6 10:37:00
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\kcien32.exe
c:\windows\system32\womsoyk.exe
c:\windows\system32\nhmxdjkl.dll
c:\windows\system32\kcien32.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\apsggjba.dll
c:\windows\system32\apzhctde.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\catsrvwl.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\hdf453d.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\ijdybpaw.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\mmhadpqg1101.dll
c:\windows\system32\mndshsrv.dll
c:\windows\system32\mnmhgsrv.dll
c:\windows\system32\mpwdeapi.dll
c:\windows\system32\msobjstl.dll
c:\windows\system32\mtewdh.dll
c:\windows\system32\opshcbty.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\pjjxfdwd.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\ypcqghlp.dll
c:\windows\system32\yxcsdhlp.dll
c:\windows\system32\zgrjdx.dll
c:\windows\system32\zptlcsys.dll
c:\windows\system32\zxmsewin.dll
c:\program files\internet explorer\plugins\unixsys08.sys
mmhadpqg1101.dll

womsoy.dll,nhmxdjkl.dll,ieprot.dll
kcien32.exe
c:\windows\system32\ozfyebyt.dll
"f:\program files\tencent\accproxy\accproxy.exe" autostart
"c:\program files\winamp\winampa.exe"
c:\windows\system32\rijxbkin.dll
c:\windows\system32\skqnebib.dll
c:\program files\vvsn\vvsn.exe
"f:\program files\daemon tools\daemon.exe" -lang 1033
c:\windows\temp\pandrv.sys
c:\windows\system32\drivers\hdv32_c.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{47AC9076-C898-B098-D098-A18319080974}]    <C:\WINDOWS\system32\nhmxdjkl.dll>
[{50940F85-F015-14F1-A05F-F69858AC6D05}]    <C:\WINDOWS\system32\zptlcsys.dll>
[{32596546-2036-9451-6058-658402589723}]    <C:\WINDOWS\system32\opshcbty.dll>
[{d332093c-9d73-4868-b201-9464a1d97512}]    <MMHADPQG1101.dll>
[{45671234-7890-ABCD-CDEF-567801237654}]    <C:\WINDOWS\system32\yxcsdhlp.dll>
[{2A698452-C5D8-C584-C256-C264C987C5A2}]    <C:\WINDOWS\system32\ijdybpaw.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{35671234-7890-ABCD-CDEF-567801237653}]    <>
[{64FAE856-AD58-20CB-A025-CD4895FA6E46}]    <C:\WINDOWS\system32\pjjxfdwd.dll>
[{7FD45A54-9875-698F-E56E-65102358FDF7}]    <C:\WINDOWS\system32\apsggjba.dll>
[{87FD640A-158F-48AC-FD14-1597F14A9778}]    <C:\WINDOWS\system32\mndshsrv.dll>
[{B629FF4F-ACDB-5C90-A098-FACB3456A26B}]    <C:\WINDOWS\system32\hdf453d.dll>
[{8A041F13-A111-12A3-B0CF-F99818AA68A8}]    <C:\WINDOWS\system32\zxmsewin.dll>
[{3D698451-2015-6358-9871-2015987452D3}]    <C:\WINDOWS\system32\apzhctde.dll>
[{55694105-5108-9405-3695-954187462155}]    <C:\WINDOWS\system32\mpwdeapi.dll>
[{80AF1289-F140-A140-D012-C1458759FC08}]    <C:\WINDOWS\system32\ypcqghlp.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{7C8D1401-A58D-A81C-CD24-A5915C4517C7}]    <C:\WINDOWS\system32\mnmhgsrv.dll>
注意该项[AppInit_DLLs]修改:把<womsoy.dll,nhmxdjkl.dll,ieprot.dll>修改为<>即清空
[kcien32]    <kcien32.exe>
[{DC3D30AE-0380-4151-8934-EE98A34B0370}]    <C:\WINDOWS\system32\mfdesy.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{5A069845-2036-6084-9054-6087502480A5}]    <C:\WINDOWS\system32\ozfyebyt.dll>
[AccProxy]    <"F:\Program Files\Tencent\AccProxy\AccProxy.exe" autostart>
[{00010001-0001-0001-0001-00010001BB15}]    <C:\WINDOWS\system32\adsntzt.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[WinampAgent]    <"C:\Program Files\Winamp\Winampa.exe">
[{00030003-0003-0003-0003-00030003BB15}]    <C:\WINDOWS\system32\bootvidgj.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <C:\WINDOWS\system32\cedafb.dll>
[{25FD6584-698F-BCD2-602C-698745210352}]    <C:\WINDOWS\system32\rijxbkin.dll>
[{52023698-6984-8541-9654-698745012525}]    <C:\WINDOWS\system32\skqnebib.dll>
[{189F087F-4378-405F-85FA-37D955AD7A8C}]    <C:\WINDOWS\system32\mtewdh.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <C:\WINDOWS\system32\zgrjdx.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{00040004-0004-0004-0004-00040004BB15}]    <C:\WINDOWS\system32\catsrvwl.dll>
[VVSN]    <C:\Program Files\VVSN\VVSN.exe>
[DAEMON Tools]    <"F:\Program Files\DAEMON Tools\daemon.exe" -lang 1033>
[{00170017-0017-0017-0017-00170017BB15}]    <C:\WINDOWS\system32\msobjstl.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{00120012-0012-0012-0012-00120012BB15}]    <C:\WINDOWS\system32\kbdswjr.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgdewg.dll>
[{00330033-0033-0033-0033-00330033BB15}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{74381DEC-D78B-43E4-BA5D-5244F669EBE4}]    <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[catsrvwl.dll]    <C:\WINDOWS\system32\catsrvwl.dll>
[msobjstl.dll]    <C:\WINDOWS\system32\msobjstl.dll>
[kbdswjr.dll]    <C:\WINDOWS\system32\kbdswjr.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[Pandrv / Pandrv]    <\??\C:\WINDOWS\TEMP\Pandrv.sys>
[Hdv32 / Hdv32]    <\??\C:\WINDOWS\system32\drivers\Hdv32_c.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINDOWS\system32\mndshsrv.dll>
[]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\skqnebib.dll>
[]    <C:\WINDOWS\system32\zptlcsys.dll>
[]    <C:\WINDOWS\system32\nhmxdjkl.dll>
[]    <C:\WINDOWS\system32\opshcbty.dll>
[]    <C:\WINDOWS\system32\rijxbkin.dll>
[]    <C:\WINDOWS\system32\mndshsrv.dll>
[]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\skqnebib.dll>
[]    <C:\WINDOWS\system32\zptlcsys.dll>
[]    <C:\WINDOWS\system32\nhmxdjkl.dll>
[]    <C:\WINDOWS\system32\opshcbty.dll>
[]    <C:\WINDOWS\system32\rijxbkin.dll>
小ˇ儍孖 - 2008-7-6 11:03:00
XDelBox.exe无法打开....打开就跳
DelDos 遇到问题需要关闭。我们对此引起的不便表示抱歉。
.....(省略)
发送错误报告(S)  不发送(D)
跳这个
你签名里的下载的XDelBox里的网站重下了个..还是这样..
该怎么办:default2: :default2:
小ˇ儍孖 - 2008-7-6 13:31:00
我重启了下..就能用了..汗....
系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINDOWS\system32\mndshsrv.dll>
[]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\skqnebib.dll>
[]    <C:\WINDOWS\system32\zptlcsys.dll>
[]    <C:\WINDOWS\system32\nhmxdjkl.dll>
[]    <C:\WINDOWS\system32\opshcbty.dll>
[]    <C:\WINDOWS\system32\rijxbkin.dll>
[]    <C:\WINDOWS\system32\mndshsrv.dll>
[]    <C:\WINDOWS\system32\mnmhgsrv.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\skqnebib.dll>
[]    <C:\WINDOWS\system32\zptlcsys.dll>
[]    <C:\WINDOWS\system32\nhmxdjkl.dll>
[]    <C:\WINDOWS\system32\opshcbty.dll>
[]    <C:\WINDOWS\system32\rijxbkin.dll>
里面的是不是有些是重复的...我删了1次就没了...
注意该项[AppInit_DLLs]修改:把<womsoy.dll,nhmxdjkl.dll,ieprot.dll>修改为<>即清空
[kcien32]    <kcien32.exe>
这个...我改的时候改错了...后又1不小心给删了...我自己有新建了个..没问题的吧?
最后..感谢DOCTORLC大哥的帮忙...谢谢~~~
小ˇ儍孖 - 2008-7-6 16:18:00
又不对了...:default2: :default2: 我重启了下打开卡卡安全助手又有了...之前删的又回来了...靠...用XDelBox.exe时..上面3个钩全打了...到底是怎么回事啊~~~~...郁闷死了....:default29: :default29:

附件: SREngLOG.log
小ˇ儍孖 - 2008-7-6 16:49:00
注册表还有几个红色的你那没提到
IFEO[QQDoctor.exe]              TASKMAN.EXE
IFEO[QQDoctorMain.exe]        TASKMAN.EXE
IFEO [SelfUpdate.exe]        TASKMAN.EXE
...该怎么办啊....按你介绍的...我有把这3个删除...结果还是不行...
.....郁闷死.....搞这***病毒我昨天通宵....今天又1整天了....还是不行....
.....DoctorLc....帮帮忙....这病毒太恶心了吧.....
天云一剑 - 2008-7-6 18:07:00
TIP:womsoyk
files:c:\windows\system32\sqjsakaq.sys


TIP:Trojan.PSW.Win32.GameOL.GEN
files:Nhmxcjkl.dll


TIP:Win32.Troj.BhoT.wc.163840
文件C:\WINDOWS\0_.ii
注册表"HKCR\CLSID\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}\InprocServer32"


FILES:hddguard.dll,mfdesy.dll,ati32srv.sys


TIP:Troj.PSW.GameOL.*
FILES:***.....好多啊

TIP:Trojan.psw.win32.Xyonline.aec
hdv32_c.sys

TIP:TROJAN.BHO.A
FILES:rijxbkin.dll,zptlcsys.dll 

TIP:win32.x
files:%System32Root%\nhmxdjkl.dll





**病毒以及变种文件太多
查看主要文件是哪天创建的,把SYSTEM中同时间的或者时间相近大量的新建的文件都删掉
天云一剑 - 2008-7-6 18:22:00
TIP:skqnebib.dll
最后被发现: 2008年7月1日(格林尼治)
files:skqnebib.dll 
目录:%WINDIR%\SYSTEM32\COMMON
            % windir % \ system32 \
不创建不注册不自我保护,对象的繁殖率非常低

TIP:MPWDEAPI.DLL
使用瑞星

TIP:Trojan-PSW.Win32.QQPass.cdw
FILES:C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys

TIP:mnmhgsrv.dll,mndshsrv.dll
新变种,传播速度慢,有EXE

TIP:RIJXBKIN.DLL
2008年六月出现,小虫子
Path: %WINDIR%\SYSTEM32\


解决方案:删除所有TEMP目录下的文件,SYSTEM32下文件如果有备份请覆盖
首先进程,要让所有可疑进程都消失,推荐安全模式
然后开始删除,XDELBOX抑制再生删或者批处理去掉属性批量删
SRENG修复服务,WINDOWS清理助手再清,杀毒软件最后查杀

分析得出是批量生成与下载,请先解决下载者类木马
DoctorLc - 2008-7-6 20:49:00
安全建议:
1Flash Player补丁下载
http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash
2若怀疑中了木马群,请下载瑞星木马群病毒专杀及修复工具
http://download.rising.com.cn/zsgj/RepairTool.exe
3可以使用Windows清理助手对系统内的木马进行扫描
http://www.arswp.com/
DoctorLc - 2008-7-6 20:50:00
使用上面的工具,进行查杀后再扫份报告。
小ˇ儍孖 - 2008-7-7 9:22:00
....汗死....要删好多....
我爸他朋友昨天晚上给电脑....直接重启按F11...在重新安装了360啊什么什么的...
.....现在不知道那些病毒还在伐....
....我不懂的....
现在开机慢的来...欢迎使用好了....只显示壁纸....过了1~2分钟才显示开始栏啊...我的电脑什么的...

附件: SREngLOG.log

附件: SREngLOG.log
小ˇ儍孖 - 2008-7-7 9:38:00
郁闷死了...RISING的序列号和ID都不知道扔哪了...现在用的是免费半年的那个...:default31:
天月来了 - 2008-7-7 9:58:00
12楼还是以后整理清爽点回贴吧

一般求助的不关心所有木马群类病毒的具体行为。

他们关心的是怎么容易的或简单的操作,来清理完病毒。

你那一大篇下来,求助的就没信心了。

如果你有效的处理方法越简单,越有利与你的卡卡生活。

明白么???
——————————————————————————————
至于楼主求助的系统,一键还原后,已看不出什么了。

请记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

还有你原中的木马群,清理起来也可以的,只是你操作不够狠而已。不过已是后话了。
小ˇ儍孖 - 2008-7-7 10:07:00
.....................汗死...可是RISING的那木马群..饿...解决的那东西我也试过了...不行...在用过不行后我才发帖问的...
....其实我电脑除了玩游戏和查东西.....别的全不会的....
谢谢所有帮忙的大哥们~~!
1
查看完整版本: 中了毒..杀了又出现..郁闷死
© 2000 - 2026 Rising Corp. Ltd.