瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中了个病毒。。貌似很厉害。。。
迷你婷 - 2008-7-7 10:18:00
我中了个Trojan.PSW.Win32.GameOL.opv 。。
以及40多个类似的。。
可是要到62版本。。
就是现在的最新版本才能杀掉。。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA)
迷你婷 - 2008-7-7 10:19:00
中了这个毒。。
瑞星升级的时候升级不了。。
老说什么遇到错误。。。
防火墙也用不了。。。
现在的版本是30的。。:default11: :default11:
天月来了 - 2008-7-7 10:40:00
扫SRENG日志发这论坛来

下载SRENG2.6版工具:http://www.kztechs.com/sreng/download.html

SRENG工具的扫描日志操作,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

日志文件保存后,直接将日志文件以附件的形式发这论坛来。

点击:我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了。
迷你婷 - 2008-7-7 10:53:00


引用:
原帖由 天月来了 于 2008-7-7 10:40:00 发表
扫SRENG日志发这论坛来

下载SRENG2.6版工具:http://www.kztechs.com/sreng/download.html

SRENG工具的扫描日志操作,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

日志文件保存后,直接将日志文件以附件的形式发这论坛来。

点击



是这个吗?

附件: SREngLOG.log
天月来了 - 2008-7-7 10:55:00
瑞星官网下载木马群工具处理
http://dl.rising.com.cn/DownLoadInfo/2008-06-18/1213783336d47779.shtml

或者我这贴下载清理。
http://bbs.ikaka.com/showtopic-8504511.aspx

清理完以后,扫描个新日志来打扫残余。
迷你婷 - 2008-7-7 12:37:00
你说的我都按我的理解去做了。。。

可以帮我看看还有什么问题吗???

附件: SREngLOG.log
天月来了 - 2008-7-7 14:54:00
你这个因为系统正常文件被病毒替换,所以处理起来麻烦,
下面的你必须认真操作了

而且不能出错,将方法以及所需要的工具和文件都下载复制到电脑保存下来

然后断网处理,必须断网处理:
——————————————————————————————————————————
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除:
C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\akjsckaq.dll
C:\WINDOWS\system32\apsgfjba.dll
C:\WINDOWS\system32\apsggjba.dll
C:\WINDOWS\system32\apzhctde.dll
C:\WINDOWS\system32\arjrcler.dll
C:\WINDOWS\system32\bnmhggo0.dll
C:\WINDOWS\system32\cedafb.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\detxciua.dll
C:\WINDOWS\system32\erxyaloe.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\hdf453d.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\ietzbpaq.dll
C:\WINDOWS\system32\ijdybpaw.dll
C:\WINDOWS\system32\jdsaex.dll
C:\WINDOWS\system32\jfdses.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\jggtsr.dll
C:\WINDOWS\system32\kbdswjr.dll
C:\WINDOWS\system32\lassaplo.dll
C:\WINDOWS\system32\lijzdlit.dll
C:\WINDOWS\system32\lofsdjbo.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\MMHADPQG1101.dll
C:\WINDOWS\system32\mndhfdwd.dll
C:\WINDOWS\system32\mndsgsrv.dll
C:\WINDOWS\system32\mndshsrv.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\mpmyhapi.dll
C:\WINDOWS\system32\mpwdeapi.dll
C:\WINDOWS\system32\msobjstl.dll
C:\WINDOWS\system32\mtewdh.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\nhmxdjkl.dll
C:\WINDOWS\system32\opshcbty.dll
C:\WINDOWS\system32\oswxdttb.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\pedadt.dll
C:\WINDOWS\system32\pjjxedwd.dll
C:\WINDOWS\system32\pjjxfdwd.dll
C:\WINDOWS\system32\pqzfajke.dll
C:\WINDOWS\system32\ptjhehlp.dll
C:\WINDOWS\system32\rijxbkin.dll
C:\WINDOWS\system32\sderfx.dll
C:\WINDOWS\system32\sgdewg.dll
C:\WINDOWS\system32\skqncbib.dll
C:\WINDOWS\system32\skqnebib.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\tdggrz.dll
C:\WINDOWS\system32\tisqctyu.dll
C:\WINDOWS\system32\tysqakol.dll
C:\WINDOWS\system32\tysqbkol.dll
C:\WINDOWS\system32\wklsdd.dll
C:\WINDOWS\system32\wrqszl.dll
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\ypcqfhlp.dll
C:\WINDOWS\system32\ypcqghlp.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\yxcsdhlp.dll
C:\WINDOWS\system32\yzztlmsn.dll
C:\WINDOWS\system32\zgrjdx.dll
C:\WINDOWS\system32\zgxfdx.dll
C:\WINDOWS\system32\zptlcsys.dll
C:\WINDOWS\system32\zptldsys.dll
C:\WINDOWS\system32\zxmscwin.dll
C:\WINDOWS\system32\zxmsewin.dll
C:\WINDOWS\system32\zxptejpg.dll
C:\WINDOWS\system32\zyzxjime.dll
C:\WINDOWS\vnyi.exe

不论删除结果如何继续下面操作。
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe和explorer.exe文件,

将userinit.exe文件复制到C:\WINDOWS\system32文件夹里替换。
将explorer.exe文件复制到C:\WINDOWS\文件夹里替换。

或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束userinit.exe和explorer.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器,结束相关进程。
在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。

或者直接将你系统里C:\WINDOWS\system32\explorer.exe文件转移到C:\WINDOWS\文件夹里。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空(就是选择“编辑”)这必须关闭杀毒软件的监控,否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <{189F087F-4378-405F-85FA-37D955AD7A8C}><C:\WINDOWS\system32\mtewdh.dll>  [File is missing]
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  [File is missing]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  [File is missing]
    <{7C8D1401-A58D-A81C-CD24-A5915C4517C7}><C:\WINDOWS\system32\mnmhgsrv.dll>  [File is missing]
    <{6A041F13-A111-12A3-B0CF-F99818AA68A6}><C:\WINDOWS\system32\zxmscwin.dll>  [File is missing]
    <{6C648541-1025-9650-9057-6541258720C6}><C:\WINDOWS\system32\mndhfdwd.dll>  [File is missing]
    <{50940F85-F015-14F1-A05F-F69858AC6D05}><C:\WINDOWS\system32\zptlcsys.dll>  [File is missing]
    <{8629FF4F-ACDB-5C90-A098-FACB3456A268}><C:\WINDOWS\system32\mpmyhapi.dll>  [File is missing]
    <{528DF602-9541-A985-210A-984A698C6F25}><C:\WINDOWS\system32\ptjhehlp.dll>  [File is missing]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}><C:\WINDOWS\system32\zgxfdx.dll>  []
    <{77FD640A-158F-48AC-FD14-1597F14A9777}><C:\WINDOWS\system32\mndsgsrv.dll>  [File is missing]
    <{3D698451-2015-6358-9871-2015987452D3}><C:\WINDOWS\system32\apzhctde.dll>  [File is missing]
    <{70AF1289-F140-A140-D012-C1458759FC07}><C:\WINDOWS\system32\ypcqfhlp.dll>  [File is missing]
    <{6FD45A54-9875-698F-E56E-65102358FDF6}><C:\WINDOWS\system32\apsgfjba.dll>  [File is missing]
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  [File is missing]
    <{35671234-7890-ABCD-CDEF-567801237653}><C:\WINDOWS\system32\yxcschlp.dll>  [File is missing]
    <{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll>  [File is missing]
    <{91698482-6555-3666-1222-954784129019}><C:\WINDOWS\system32\zxptejpg.dll>  [File is missing]
    <{60A345CD-ABCD-EFAB-CDEF-ABCD01020306}><C:\WINDOWS\system32\pqzfajke.dll>  [File is missing]
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  []
    <{10909876-4567-3908-4056-909834565101}><C:\WINDOWS\system32\erxyaloe.dll>  [File is missing]
    <{43512378-9874-5641-1025-985420368734}><C:\WINDOWS\system32\oswxdttb.dll>  [File is missing]
    <{4D098345-6785-1098-5413-678067AE03D4}><C:\WINDOWS\system32\tysqakol.dll>  [File is missing]
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll>  [File is missing]
    <{29109876-7619-9101-7012-901938475192}><C:\WINDOWS\system32\ietzbpaq.dll>  [File is missing]
    <{4C954872-1230-6541-9548-6541025884C4}><C:\WINDOWS\system32\lijzdlit.dll>  [File is missing]
    <{54FAE856-AD58-20CB-A025-CD4895FA6E45}><C:\WINDOWS\system32\pjjxedwd.dll>  [File is missing]
    <{F36D6506-1F5F-4357-A660-1F7ABAD8788A}><C:\WINDOWS\system32\sderfx.dll>  [File is missing]
    <{2B69874A-C58C-458D-69F0-698F874E41B2}><C:\WINDOWS\system32\lassaplo.dll>  [File is missing]
    <{5A069845-2036-6084-9054-6087502480A5}><C:\WINDOWS\system32\ozfyebyt.dll>  [File is missing]
    <{5C69034A-F45F-D34D-A33A-C33C4D324FC5}><C:\WINDOWS\system32\arjrcler.dll>  [File is missing]
    <{3A908760-8000-4000-A000-9000322145A3}><C:\WINDOWS\system32\akjsckaq.dll>  [File is missing]
    <{32023698-6984-8541-9654-698745012523}><C:\WINDOWS\system32\skqncbib.dll>  [File is missing]
    <{25FD6584-698F-BCD2-602C-698745210352}><C:\WINDOWS\system32\rijxbkin.dll>  [File is missing]
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  []
    <{00170017-0017-0017-0017-00170017BB15}><C:\WINDOWS\system32\msobjstl.dll>  [File is missing]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zgrjdx.dll>  [File is missing]
    <{80AF1289-F140-A140-D012-C1458759FC08}><C:\WINDOWS\system32\ypcqghlp.dll>  [File is missing]
    <{55694105-5108-9405-3695-954187462155}><C:\WINDOWS\system32\mpwdeapi.dll>  [File is missing]
    <{00010001-0001-0001-0001-00010001BB15}><C:\WINDOWS\system32\adsntzt.dll>  [File is missing]
    <{5E907A48-400E-4EA8-9792-FFAE052D59E9}><C:\WINDOWS\system32\pedadt.dll>  [File is missing]
    <{AA59145F-315D-BC23-AC1F-145DF81A34AA}><C:\WINDOWS\system32\zyzxjime.dll>  [File is missing]
    <{8A041F13-A111-12A3-B0CF-F99818AA68A8}><C:\WINDOWS\system32\zxmsewin.dll>  [File is missing]
    <{B629FF4F-ACDB-5C90-A098-FACB3456A26B}><C:\WINDOWS\system32\hdf453d.dll>  [File is missing]
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []
    <{2A698452-C5D8-C584-C256-C264C987C5A2}><C:\WINDOWS\system32\ijdybpaw.dll>  [File is missing]
    <{87FD640A-158F-48AC-FD14-1597F14A9778}><C:\WINDOWS\system32\mndshsrv.dll>  [File is missing]
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [File is missing]
    <{C3D16072-2E1B-450B-B843-50EADDC8EB63}><C:\WINDOWS\system32\bnmhggo0.dll>  [File is missing]
    <{7FD45A54-9875-698F-E56E-65102358FDF7}><C:\WINDOWS\system32\apsggjba.dll>  [File is missing]
    <{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll>  []
    <{64FAE856-AD58-20CB-A025-CD4895FA6E46}><C:\WINDOWS\system32\pjjxfdwd.dll>  []
    <{45671234-7890-ABCD-CDEF-567801237654}><C:\WINDOWS\system32\yxcsdhlp.dll>  [File is missing]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{d332093c-9d73-4868-b201-9464a1d97512}><MMHADPQG1101.dll>  [N/A]
    <{00120012-0012-0012-0012-00120012BB15}><C:\WINDOWS\system32\kbdswjr.dll>  [File is missing]
    <{32596546-2036-9451-6058-658402589723}><C:\WINDOWS\system32\opshcbty.dll>  [File is missing]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  [File is missing]
    <{60940F85-F015-14F1-A05F-F69858AC6D06}><C:\WINDOWS\system32\zptldsys.dll>  [File is missing]
    <{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}><C:\WINDOWS\system32\jfdses.dll>  []
    <{47AC9076-C898-B098-D098-A18319080974}><C:\WINDOWS\system32\nhmxdjkl.dll>  [File is missing]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jggtsr.dll>  [File is missing]
    <{C490415F-65F8-B5C5-D8BA-9405FB12054C}><C:\WINDOWS\system32\yzztlmsn.dll>  [File is missing]
    <{B490415F-65F8-B5C5-D8BA-9405FB12054B}><C:\WINDOWS\system32\yzztlmsn.dll>  [File is missing]
    <{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\WINDOWS\system32\tdggrz.dll>  [File is missing]
    <{5D098345-6785-1098-5413-678067AE03D5}><C:\WINDOWS\system32\tysqbkol.dll>  [File is missing]
    <{52023698-6984-8541-9654-698745012525}><C:\WINDOWS\system32\skqnebib.dll>  [File is missing]
    <{38093456-9012-4568-9076-908765467183}><C:\WINDOWS\system32\tisqctyu.dll>  [File is missing]
    <{470165F1-9F65-569F-F895-F14F58F41074}><C:\WINDOWS\system32\lofsdjbo.dll>  [File is missing]
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [File is missing]
    <{30618412-C528-C784-C056-C164D1F7C503}><C:\WINDOWS\system32\detxciua.dll>  [File is missing]
    <{74381DEC-D78B-43E4-BA5D-5244F669EBE4}><C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>  [File is missing]
    <msobjstl.dll><C:\WINDOWS\system32\msobjstl.dll>  [File is missing]
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  [File is missing]
    <kbdswjr.dll><C:\WINDOWS\system32\kbdswjr.dll>  [File is missing]
    <IFEO[360tray.exe]><ntsd -d>  [N/A]
    <IFEO[AntiArp.exe]><ntsd -d>  [N/A]
    <IFEO[kavstart.exe]><ntsd -d>  [N/A]
    <IFEO[kissvc.exe]><ntsd -d>  [N/A]
    <IFEO[KVMonXP.kxp]><ntsd -d>  [N/A]
    <IFEO[KVsrvxp.exe]><ntsd -d>  [N/A]
    <IFEO[kwatch.exe]><ntsd -d>  [N/A]
    <IFEO[QQDoctor.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
    <IFEO[QQDoctorMain.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
    <IFEO[safeboxtray.exe]><ntsd -d>  [N/A]
    <IFEO[SelfUpdate.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项,将启动类型改为“Disabled”
==================================
服务
[Security Control / seictrl][Stopped/Auto Start]
  <c:\windows\system32\rundll32.exe dbi100.dll,scan><Microsoft Corporation>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[Hdv32 / Hdv32][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\Hdv32_c.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {10909876-4567-3908-4056-909834565101} <C:\WINDOWS\system32\erxyaloe.dll, N/A>
[]
  {25FD6584-698F-BCD2-602C-698745210352} <C:\WINDOWS\system32\rijxbkin.dll, N/A>
[]
  {29109876-7619-9101-7012-901938475192} <C:\WINDOWS\system32\ietzbpaq.dll, N/A>
[]
  {2A698452-C5D8-C584-C256-C264C987C5A2} <C:\WINDOWS\system32\ijdybpaw.dll, N/A>
[]
  {2B69874A-C58C-458D-69F0-698F874E41B2} <C:\WINDOWS\system32\lassaplo.dll, N/A>
[]
  {32023698-6984-8541-9654-698745012523} <C:\WINDOWS\system32\skqncbib.dll, N/A>
[]
  {32596546-2036-9451-6058-658402589723} <C:\WINDOWS\system32\opshcbty.dll, N/A>
[]
  {35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {38093456-9012-4568-9076-908765467183} <C:\WINDOWS\system32\tisqctyu.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {3D698451-2015-6358-9871-2015987452D3} <C:\WINDOWS\system32\apzhctde.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {470165F1-9F65-569F-F895-F14F58F41074} <C:\WINDOWS\system32\lofsdjbo.dll, N/A>
[]
  {47AC9076-C898-B098-D098-A18319080974} <C:\WINDOWS\system32\nhmxdjkl.dll, N/A>
[]
  {4C954872-1230-6541-9548-6541025884C4} <C:\WINDOWS\system32\lijzdlit.dll, N/A>
[]
  {4D098345-6785-1098-5413-678067AE03D4} <C:\WINDOWS\system32\tysqakol.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {52023698-6984-8541-9654-698745012525} <C:\WINDOWS\system32\skqnebib.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {54FAE856-AD58-20CB-A025-CD4895FA6E45} <C:\WINDOWS\system32\pjjxedwd.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
  {5C69034A-F45F-D34D-A33A-C33C4D324FC5} <C:\WINDOWS\system32\arjrcler.dll, N/A>
[]
  {5D098345-6785-1098-5413-678067AE03D5} <C:\WINDOWS\system32\tysqbkol.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {6C648541-1025-9650-9057-6541258720C6} <C:\WINDOWS\system32\mndhfdwd.dll, N/A>
[]
  {6FD45A54-9875-698F-E56E-65102358FDF6} <C:\WINDOWS\system32\apsgfjba.dll, N/A>
[]
  {70AF1289-F140-A140-D012-C1458759FC07} <C:\WINDOWS\system32\ypcqfhlp.dll, N/A>
[]
  {74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[]
  {77FD640A-158F-48AC-FD14-1597F14A9777} <C:\WINDOWS\system32\mndsgsrv.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
  {8629FF4F-ACDB-5C90-A098-FACB3456A268} <C:\WINDOWS\system32\mpmyhapi.dll, N/A>
[]
  {87FD640A-158F-48AC-FD14-1597F14A9778} <C:\WINDOWS\system32\mndshsrv.dll, N/A>
[]
  {91698482-6555-3666-1222-954784129019} <C:\WINDOWS\system32\zxptejpg.dll, N/A>
[]
  {B490415F-65F8-B5C5-D8BA-9405FB12054B} <C:\WINDOWS\system32\yzztlmsn.dll, N/A>
[]
  {C490415F-65F8-B5C5-D8BA-9405FB12054C} <C:\WINDOWS\system32\yzztlmsn.dll, N/A>
[]
  {10909876-4567-3908-4056-909834565101} <C:\WINDOWS\system32\erxyaloe.dll, N/A>
[]
  {25FD6584-698F-BCD2-602C-698745210352} <C:\WINDOWS\system32\rijxbkin.dll, N/A>
[]
  {29109876-7619-9101-7012-901938475192} <C:\WINDOWS\system32\ietzbpaq.dll, N/A>
[]
  {2A698452-C5D8-C584-C256-C264C987C5A2} <C:\WINDOWS\system32\ijdybpaw.dll, N/A>
[]
  {2B69874A-C58C-458D-69F0-698F874E41B2} <C:\WINDOWS\system32\lassaplo.dll, N/A>
[]
  {32023698-6984-8541-9654-698745012523} <C:\WINDOWS\system32\skqncbib.dll, N/A>
[]
  {32596546-2036-9451-6058-658402589723} <C:\WINDOWS\system32\opshcbty.dll, N/A>
[]
  {35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {38093456-9012-4568-9076-908765467183} <C:\WINDOWS\system32\tisqctyu.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {3D698451-2015-6358-9871-2015987452D3} <C:\WINDOWS\system32\apzhctde.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {470165F1-9F65-569F-F895-F14F58F41074} <C:\WINDOWS\system32\lofsdjbo.dll, N/A>
[]
  {47AC9076-C898-B098-D098-A18319080974} <C:\WINDOWS\system32\nhmxdjkl.dll, N/A>
[]
  {4C954872-1230-6541-9548-6541025884C4} <C:\WINDOWS\system32\lijzdlit.dll, N/A>
[]
  {4D098345-6785-1098-5413-678067AE03D4} <C:\WINDOWS\system32\tysqakol.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {52023698-6984-8541-9654-698745012525} <C:\WINDOWS\system32\skqnebib.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {54FAE856-AD58-20CB-A025-CD4895FA6E45} <C:\WINDOWS\system32\pjjxedwd.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
  {5C69034A-F45F-D34D-A33A-C33C4D324FC5} <C:\WINDOWS\system32\arjrcler.dll, N/A>
[]
  {5D098345-6785-1098-5413-678067AE03D5} <C:\WINDOWS\system32\tysqbkol.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {6C648541-1025-9650-9057-6541258720C6} <C:\WINDOWS\system32\mndhfdwd.dll, N/A>
[]
  {6FD45A54-9875-698F-E56E-65102358FDF6} <C:\WINDOWS\system32\apsgfjba.dll, N/A>
[]
  {70AF1289-F140-A140-D012-C1458759FC07} <C:\WINDOWS\system32\ypcqfhlp.dll, N/A>
[]
  {74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[]
  {77FD640A-158F-48AC-FD14-1597F14A9777} <C:\WINDOWS\system32\mndsgsrv.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
  {8629FF4F-ACDB-5C90-A098-FACB3456A268} <C:\WINDOWS\system32\mpmyhapi.dll, N/A>
[]
  {87FD640A-158F-48AC-FD14-1597F14A9778} <C:\WINDOWS\system32\mndshsrv.dll, N/A>
[]
  {91698482-6555-3666-1222-954784129019} <C:\WINDOWS\system32\zxptejpg.dll, N/A>
[]
  {B490415F-65F8-B5C5-D8BA-9405FB12054B} <C:\WINDOWS\system32\yzztlmsn.dll, N/A>
[]
  {C490415F-65F8-B5C5-D8BA-9405FB12054C} <C:\WINDOWS\system32\yzztlmsn.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=386491
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

杀毒软件如果有异常,可能需要卸载重装,升级至最新版本全盘杀。

其他任何个人软件的异常,都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx

因为项目很多手工可能,你比较费劲,还是我那贴木马群清理已按照你的日志更新了。

你试试下载那贴附件后,断网,替换完系统文件后,立即启动Windows清理助手试试。

记住必须替换完系统文件厚才可以解决问题。
迷你婷 - 2008-7-7 15:14:00
注册表那部分我不会。。补丁我已经装好了。。
pehi - 2008-7-7 15:20:00
:kaka9: 斑竹好强啊!!!!!!!!!!!!!!!要向你学习....能给点学习的建议吗??
迷你婷 - 2008-7-7 15:25:00
你说要删除的文件找不到怎么办??就C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys
这第一个就没有了
天月来了 - 2008-7-7 15:26:00
学啥呢??

我这真挠头呢:default2:
天月来了 - 2008-7-7 15:29:00


引用:
原帖由 迷你婷 于 2008-7-7 15:25:00 发表
你说要删除的文件找不到怎么办??就C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys
这第一个就没有了


唉.......................

真要命!!!!!!!!!!!!!!

我要你所谓的删除,只是个删除过程而已

我不是说了嘛:“不论删除结果如何继续下面操作。”

难道你没注意???

我就知道你要问这些什么什么文件没了怎么办????

也奇怪的。

病毒文件没了不是更好嘛!!!!

难道你希望还有病毒文件存在????
迷你婷 - 2008-7-7 15:32:00
噢噢。。。。我是注意到了那句话。。嘻嘻。。那些注册表的东西要是也找不到就不管了吧。。对不???
我这是第一次自己做这么大的杀毒工程的。。以前都是我姐。。。现在头都大了:default29: :default29: :default29:
天月来了 - 2008-7-7 15:36:00
不大,不大

能找多少,就找多少。

因为处理完,还可以再扫日志来嘛

怕什么哦

只是要注意的是,关键之处是不能操作错

你要是删错系统的东西,导致进不了系统,

不抱怨我乱教你就好了:default2:
天月来了 - 2008-7-7 15:36:00
还有你姐????:default15:

那你也是位MM么:default15:


(咳咳!这句话别人不许看:default28: )
迷你婷 - 2008-7-7 16:24:00
终于好了。。。那些一开始要删除的文件只找到1个。。郁闷死我了。。。
对了,,一开始你说
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空(就是选择“编辑”)这必须关闭杀毒软件的监控,否则改不了可能。
就是将 <AppInit_DLLs> 的“值”项编辑置空
那现在要把它设置回去吗?。但是我也忘了那个值是什么了。。

附件: SREngLOG.log
天云一剑 - 2008-7-7 16:32:00
变种的黑洞。。。。,支持版主,给我当老师吧
天月来了 - 2008-7-7 16:40:00
“编辑置空”这四个字那么难理解么???

我不是附带说明:“部分工具的操作看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx

你又没看???:default2:

userinit.exe和explorer.exe文件你是怎么操作的???

新日志还是有毒,新下载的。:default2:
天月来了 - 2008-7-7 16:43:00
继续断网操作,这次不可能没文件了。

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除:
C:\WINDOWS\nrii.exe
C:\WINDOWS\system32\pjjxfdwd.dll
C:\WINDOWS\system32\jfdses.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\wrqszl.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\hhrdxd.dll

不论删除结果如何继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <{64FAE856-AD58-20CB-A025-CD4895FA6E46}><C:\WINDOWS\system32\pjjxfdwd.dll>  []
——————————————————————————————————————————————
因为你这是XPsp2系统,你可以直接去这里下载需要的系统文件:http://bbs.ikaka.com/showtopic-8417665.aspx

将你那系统userinit.exe和explorer.exe文件替换为正常的系统文件,

将userinit.exe文件复制到C:\WINDOWS\system32文件夹里替换。
将explorer.exe文件复制到C:\WINDOWS\文件夹里替换。

这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束userinit.exe和explorer.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器,结束相关进程。
在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。

再重启电脑,看效果怎样。
天月来了 - 2008-7-7 16:44:00
还有你说:“那些一开始要删除的文件只找到1个。。郁闷死我了。。。”

这句话怎么理解呢???

难道你没用费尔自动检测删除。

而是自己傻傻的搁那手工找的?????????
迷你婷 - 2008-7-7 16:45:00
这个倒是没看。。。。。真想把版主你绑架到我家。。。
那现在要怎么做啊???那2个文件是我结束进程之后直接替换掉的。。而且我完成是所有东西之后还没重启。。
天月来了 - 2008-7-7 16:48:00
我20楼的回答我,我好奇呢

还有不断网操作,你永远没法清理完

不频繁重启电脑,也永远没法清理完。

可惜呀。
迷你婷 - 2008-7-7 16:50:00
我操作的时候是断网的啊。。。。。
迷你婷 - 2008-7-7 16:51:00
就没重启。。。那是要经常重启是么?
迷你婷 - 2008-7-7 16:52:00


引用:
原帖由 天月来了 于 2008-7-7 16:44:00 发表
还有你说:“那些一开始要删除的文件只找到1个。。郁闷死我了。。。”

这句话怎么理解呢???

难道你没用费尔自动检测删除。

而是自己傻傻的搁那手工找的?????????



有那东西???我怎么没注意,,,,
迷你婷 - 2008-7-7 17:01:00
:default29: :default29: :default29: 没找到那个自动检测删除的东东哦。。。。
天月来了 - 2008-7-7 17:22:00


引用:
原帖由 迷你婷 于 2008-7-7 17:01:00 发表
:default29: :default29: :default29: 没找到那个自动检测删除的东东哦。。。。


呵呵!!

头摇的好好玩的:default14:

我在19楼一开始就说:“这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

你怎么了呢???

不想认真忙啊?

还是俺中文打的不好,不值得你看哩:default3:
迷你婷 - 2008-7-7 18:10:00
不是啦。。。那个软件我有下载来用的。。我那时以为你说那个软件有自动检测文件的功能。。。后来才发现原来可以把那一大串文件地址可以复制上去。。。所以现在明白了。。
我再上传个。。帮我看看恢复正常了没哦。。。
PS:我真的好想把版主你绑架到我家啊。。。那以后就不用这么麻烦了。。。:default6: :default6:

晕。。。不要下载。。。我没看倒你10几的回复。。,,

附件: SREngLOG.log
天月来了 - 2008-7-7 18:15:00
小样

动手能力还真行

竟然弄好了

日志看不出什么了。

想绑架我,就去下面茶馆绑架俺吧

可惜今天人少,不然一起玩,很热闹的。
迷你婷 - 2008-7-7 18:25:00
.......我按照你19楼的方法再操作了1次。。。。。最后只是删了个文件。。其他都没变。。。这个才是现在的。。。
茶馆在哪咧????

附件: SREngLOG.log
12
查看完整版本: 中了个病毒。。貌似很厉害。。。
© 2000 - 2026 Rising Corp. Ltd.