瑞星卡卡安全论坛

昨天晚上一不小心中招,突然发现进程里面多了好多数字的东西,用清理助手一查,哇,怎么中了那么多的木马程序
于是呼,我和他们开始了搏斗,可是有些东西相当顽固,文件名我忘记了...半夜,依然无法全部清理
今天早上,把天月斑竹介绍的几个手动软件全部用了个遍,目前好象基本正常了,但是还是对自己的能力持怀疑态度,毕竟我不是这方面的高手，仅仅一菜鸟而已
现在把日志发上来,还是请有能力的人来帮忙检阅一下

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.txt

还是请人来帮助一下吧

发个重启后的日志给大家看看，好象问题依然存在

附件: SREngLOG.txt

用附件的XDELBOX删除文件
C:\WINDOWS\system32\yzztnmsn.dll
C:\WINDOWS\system32\nhmxejkl.dll
C:\WINDOWS\system32\mndshsrv.dll
C:\WINDOWS\system32\ypcqghlp.dll
C:\WINDOWS\system32\mndhgdwd.dll

复制他们，从剪贴板导入，点上抑制再生，右键点击要删除的文件列表，选择立即重起删除(如果说找不到文件,不用管,继续操作)

重起以后进入XDELBOX工具，执行删除~

删除过后，打开SRENG

注册表中删除
<{87FD640A-158F-48AC-FD14-1597F14A9778}><C:\WINDOWS\system32\mndshsrv.dll>  []
    <{80AF1289-F140-A140-D012-C1458759FC08}><C:\WINDOWS\system32\ypcqghlp.dll>  []
    <{7C648541-1025-9650-9057-6541258720C7}><C:\WINDOWS\system32\mndhgdwd.dll>  []
    <{E490415F-65F8-B5C5-D8BA-9405FB12054E}><C:\WINDOWS\system32\yzztnmsn.dll>  []
    <{57AC9076-C898-B098-D098-A18319080975}><C:\WINDOWS\system32\nhmxejkl.dll>  []
编辑    <AppInit_DLLs><yzztnmsn.dll,nhmxejkl.dll,ieprot.dll>  []为    <AppInit_DLLs><ieprot.dll>  []


删除服务
[33BDFF6E / 33BDFF6E][Stopped/Auto Start]
  <C:\WINDOWS\system32\70C5E47E.EXE -d><(File is missing)>

然后
清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空下列临时文件夹中所有内容：
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
C:\WINDOWS\TEMP

更新杀软，全盘杀毒~~如果是局域网环境，请安装ARP防火墙，绑定网关MAC地址~


PS：SRENG的使用方法可以看：http://bbs.ikaka.com/showtopic-8442813.aspx(注意，删除服务和驱动最后一个对话框选择“否”）

附件: xdelboxnN.rar

看了一下...有点晕...不是很会看...但是我没看到有什么可疑的东东..问题还在?是什么问题呢??:default9:

没清理干净，不过已经没危险了
删除
c:\windows\system32\70c5e47e.exe
c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\npf.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[33BDFF6E / 33BDFF6E]    <C:\WINDOWS\system32\70C5E47E.EXE -d>
[P4P Service / P4P Service]    <C:\Program Files\Common Files\Sogou PXP\p2psvr.exe>
[33BDFF6E / 33BDFF6E]    <C:\WINDOWS\system32\70C5E47E.EXE -d>
[P4P Service / P4P Service]    <C:\Program Files\Common Files\Sogou PXP\p2psvr.exe>
//P2P这个有用的话就别修复了，但是你的文件已经丢失，是卸载了吧，那就修复

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[Secdrv / Secdrv]    <system32\DRIVERS\secdrv.sys>
[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>

先谢了

哦...原来这几个也是可疑文件...学到东东了...怪不得名字这么怪..
C:\WINDOWS\system32\yzztnmsn.dll
C:\WINDOWS\system32\nhmxejkl.dll
C:\WINDOWS\system32\mndshsrv.dll
C:\WINDOWS\system32\ypcqghlp.dll
C:\WINDOWS\system32\mndhgdwd.dll

:default6: 如果确定了是哪种病毒，就可以知道报告上没有的文件啦

问题还是没解决哦,
而且出现了更多不明进程
还出现了影象劫持的问题
真不知道该怎么办了
再扫个日志,请大虾帮忙吧

附件: SREngLOG.txt

瑞星官网下载木马群工具处理（记得观察并说一下它的使用效果）
http://dl.rising.com.cn/DownLoad ... 3783336d47779.shtml

然后继续我这贴下载清理。
http://bbs.ikaka.com/showtopic-8504511.aspx

清理完以后，扫描个新日志来打扫残余。

在他没清理之前，请不要再建议他进行什么删除操作。

真的哦...更多奇怪的.dll文件出现了...会不会有些隐藏了的类似于AUTORUN.INF这类的没有清除干净呢???

不要乱想

他只是在中毒后，一直连网，病毒下载了更多东西而已。

没什么，他如果还连网，还会继续下载新东西的。

NPF.SYS删除了以后
进入注册表编辑器删除
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf  服务。
同时删除
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY-NPF
            HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY-NPF
      删这两键时，先右键－》权限，设置为everyone控制，删除。

楼上的

我说了不要再建议他进行什么删除操作。

你还折腾那干什么？？？

他现在又不断下载了一堆一堆的木马病毒。

删除那NPF.SYS能解决什么问题？？

回求助贴处理病毒，一般应该一气呵成。

除非求助者无法正确操作。

还可以继续扫描新日志来看系统变化情况，再考虑打扫残余。

你这样一个一个的慢慢说。

很痛苦的（我看贴痛苦）:default15:

天月斑竹,我已经参照你的方法,把所有的程序都做了一遍,那个什么专杀工具,在下载补丁的时候出了问题,下到大一半的时候告诉我网络连接失败...
其他的好象也没出什么问题,检查到一个木马
但是现在我的系统好象还是依旧哦
我再扫描个日志上来,
我得去上班了...看样子我得先把网断开，不然越下越多了

附件: SREngLOG.txt

等会

你系统文件已经严重被替换

不能做任何其他操作了

等着

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
c:\windows\system32\pcosevek.exe
c:\windows\system32\zaztamsn.exe
c:\windows\system32\pldhadwd.exe
c:\37234\6782.750
c:\program files\internet explorer\plugins\unixsys08.sys
c:\windows\system32\nhmxejkl.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\jggtsr.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\mndshsrv.dll
c:\windows\system32\mtewdh.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\rfdswc.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\ypcqghlp.dll
c:\windows\system32\zgrjdx.dll
c:\windows\system32\mndhgdwd.dll
c:\windows\system32\yzztnmsn.dll
c:\windows\system32\70c5e47e.exe

如果费尔不能启动运行。
那就尝试：
这里下载360文件粉碎工具，删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html

不论删除结果如何继续下面操作。
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找lsass.exe和mfc40loc.dll文件，复制到C:\WINDOWS\system32文件夹里替换。

或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8501837.aspx

替换时，可以将病毒替换的二文件改个名，然后将找到的正常的系统文件复制到相应文件夹里，不能操作错，要仔细。

只要你确认替换成功，就可以立即重启电脑了。

然后进系统：
————————————————————————————————————————————————
运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=386493

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：

[{DC3D30AE-0380-4151-8934-EE98A34B0370}]    <C:\WINDOWS\system32\mfdesy.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgdewg.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <C:\WINDOWS\system32\zgrjdx.dll>
[{461D2AB4-29A5-45C2-9134-D52272D3DE38}]    <C:\WINDOWS\system32\rfdswc.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <C:\WINDOWS\system32\cedafb.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}]    <C:\WINDOWS\system32\jhfrxz.dll>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jggtsr.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]    <C:\WINDOWS\system32\fmcvxy.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{189F087F-4378-405F-85FA-37D955AD7A8C}]    <C:\WINDOWS\system32\mtewdh.dll>
[{80AF1289-F140-A140-D012-C1458759FC08}]    <C:\WINDOWS\system32\ypcqghlp.dll>
[{57AC9076-C898-B098-D098-A18319080975}]    <C:\WINDOWS\system32\nhmxejkl.dll>
[{87FD640A-158F-48AC-FD14-1597F14A9778}]    <C:\WINDOWS\system32\mndshsrv.dll>
[{7C648541-1025-9650-9057-6541258720C7}]    <C:\WINDOWS\system32\mndhgdwd.dll>
[{E490415F-65F8-B5C5-D8BA-9405FB12054E}]    <C:\WINDOWS\system32\yzztnmsn.dll>
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，

[33BDFF6E / 33BDFF6E]    <C:\WINDOWS\system32\70C5E47E.EXE -d>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

以上所有操作，必须断网处理

不然那个lsass.exe和mfc40loc.dll会不断继续下载新病毒。

但是这两文件不能删除的，删除系统就完蛋了。

必须用正常的系统原文件替换掉他们。

我回家了。

你弄完后，再扫个新日志给他们帮你看吧。

:kaka9: 哦...太强了...我今天在实习生名单出现了...但还未确定学长...能请天月来了当我的学长吗???

还是在这里先谢谢天月斑竹
在你的指导下,我的电脑好象已经正常了
除了感谢还是感谢呢

现在我把我的电脑重新扫描了下,日志传上来,请你或者其他高人帮我指点下还有什么问题没

还有,我的电脑在这次折腾后出了个小问题，就是在任务栏里的网络连接消失了,我也没法看到我的网络连接状态了,不知道对这个问题有没有人有解决的办法呢

附件: SREngLOG1.txt

这个应该在控制面板的网络连接,选你的本地连接或你的宽带连接的属性,有得显示的...试试

哈哈，不行拉,我连状态都进不了呢

日志没看出什么

还有你说：“不行拉,我连状态都进不了呢 ”

虾米意思？？？

已经全部解决了
我的状态进不了,指的是我看不到我的网络状态
没什么问题了

我能不能做你的实习生哦,可是我什么都不懂呢

系统基础知识如果已经有点了。就看2007年3月到现在的回贴多的贴吧。应该可以学到不少东西的。

要有巨大的耐心才行。

至于基础知识嘛，也简单的，就是文件路径啊，目录啊，文件名啊，如何看隐藏文件啦，看系统属性的文件啦，看文件的MD5值啦，复制粘贴文件啦，等等。

再加上了解什么叫进程，以及进程加载的DLL文件啦等等，你稍微熟悉点，就可以看贴自个慢慢学了，实际一点不难的。

就一法而已---------------------------------百度

:default3:

嘿嘿！！

根本没什么秘密可言的。:default21:

月版，谢谢你的指教，我昨晚也惨遭文件替换。。。。