瑞星卡卡安全论坛

今天确实碰到了有点难度的病毒，之前手动杀过不少病毒，从来不用上网求助，但这一个我忙了整个通宵，还是搞不定，找好请教高手了

首先是感觉到不对劲就有点迟了，然后立刻系统还原，发现没用，这时候开始菜单可以打开，但无法点其中的任何内容，于是msconfig看不了，注册表打不开，任务管理器一打开就关闭，ie一打开就关闭，所有杀毒软件相关的东西一点就删除
感觉很像AV终结者，于是就想了些办法，安全模式是进不去的，每次在读346bus.sys的时候就重新启动了，从别人机器上下了Prcmgr，强行关闭了一些进程，再杀掉，重启若干次后，只剩下keicn32.exe去不掉
上网查了相关内容，下载了N个专杀，没用，只好用DelBox强行删删看，经过一番折腾，目前症状如下：
1：安全模式进不去
2：杀毒软件已不是全部打不开，冰刃和AVP就可以打开，AV终结者等仍然是打开一个删除一个，所有能打开的杀毒工具扫描后都是无病毒，Image File Execution Options下没有找到与杀毒软件关联的项，但注册表中ShellExecuteHooks提示无法打开
3：ie能打开，用起来和平常一样，但打开某些网页，特别是下载时，自动跳转到cnyahoo，这个以前遇到过，但完全不一样，以前是任何与杀毒相关的网页全部跳转，但这次不是，360的网站和瑞星的网站照样打开，下载瑞星听诊器的时候才跳转，不从网页下载，直接复制了从flashget下载也一样跳转
4：开始菜单已经没问题，注册表可以打开，查看文件关联，发现没有问题
5：输入msconfig时，内存报错，不能为written，右键查看我的电脑属性时，也是这样
6：任务管理器已经不自动关闭了，里面进程相当干净，rundll32的位置正确，ATI2EVXX.EXE可以被关闭，查看了详细以后发现该进程确实是在管理ATI显卡的hotkey，也不像是病毒，但可疑的是ATI2EVXX.EXE病毒专杀工具属于一打开就删除的系列

虽然不太影响电脑使用了，但明显有残留，而且不止一个，问题是找不到在哪里，而且也不知道怎么解决，任何专杀工具改名是没有用的，应该是分析了里面的详细信息的，所有通常意义上的办法我基本都尝试过了，所以才说有点难度，而且安全模式始终进不去，用注册表修复了还是一样进不去
瑞星听诊器不用改名都可以打开，扫了一份报告，发在附件里，拜托高手帮忙了
其实在杀来杀去的时候我就知道系统已经给我杀乱了，即使问题解决我也会重装的，但总觉得被病毒逼到重装是非常孬种的行为，与病毒斗法才其乐无穷嘛，所以，一定要先解决了病毒

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2)

附件: 瑞星听诊信息.rar

还有，目前所有的系统还原点都已经消失，SRE是打不开的，瑞星听诊器没有问题

把SRE的扩展名改为***.COM  试试

删除
C:\WINDOWS\TEMP\_TMP.BAT
C:\WINDOWS\SYSTEM32\8E56BFC8.EXE

回2楼，怎么改名都不行的，病毒应该是检测了大致内容和版本信息的
回3楼，已经删除，问题依旧，目前“我的电脑”图标已经变为不可识别文件的样子，但双击仍可直接进

哈！！！

刚见一个样本可能损坏的

这又来一个了

等会

如果现在还异常，最好扫个最新听诊器日志来

你中的是新型AV终结者，即360所说的JAVQHC。QQ中也有此毒。
你中的这个毒和我见的似乎有点不同。你可以叫天月来看看。我看不出来。建议你用我给的syscheck扫描一下。

呵呵，天月来了。

附件: 改造的SysCheck.rar

用解压工具WinRAR依路径打开找下面文件，复制 压缩后发来。急需要样本。

c:\windows\system32\otsblfgdm.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\bnqcwtcr.dll
c:\windows\system32\msobjstl.dll
c:\windows\system32\rasdlgcq.dll
c:\windows\system32\ksuserfy.dll
c:\windows\system32\slbiopfs2.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\catsrvwl.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\cryptuiwlqx.dll
c:\windows\system32\tudouupload.dll
d:\software\qq\wsock32.dll
d:\software\qq\vazism.dll
c:\windows\system32\glktdxyve.dll
c:\windows\system32\sxwfpjkhq.dll

文件一个不漏复制好后

这样删除：

这贴35楼下载超级巡警暴力文件删除器：
http://bbs.ikaka.com/showtopic.aspx?topicid=8442813&page=4

记住只能下载我那个附件的，官网仍然会被病毒关闭删除的。

天月看听诊器的日志挺有经验。佩服。
是不是听诊器也升级了？似乎也过滤了正常的系统文件。

d:\software\qq\vazism.dll

楼主请压缩完所有文件，操作删除完文件后，立即重启电脑，扫描SRENG日志来打扫残余病毒

这个应该是病毒文件，但我记得这个病毒在system32目录下也有个，而且注入很多进程中，但这次的似乎找不到。有点疑惑。

这个有时不灵光的。

一般会成功的，system32目录下也应该有的。

还有我签名处你应该已经看过了吧？

我知道了:default6:
C:\WINDOWS\SYSTEM32\MSACM32.DRV
以前你看听诊器的报告中有没有这个系统模块？
只可惜可能楼主不在，明天再来看。:default2:

那是系统的，应该没问题的。:default7:

我怕这次病毒变种了，修改系统文件。

由于上传限制，只能传这么多了，先传上来，正在删，你的帖子我都看过了，我并不是所有的杀毒软件都打不开，只是能打开的都查不到毒而已
冰刃就能打开，我就用它删的东西
现在开始菜单又打不开了，而且刚才打开winrar的时候自动弹出两个广告网页，看来病毒也在蔓延，要和病毒比速度了~

附件: vazism.rar

附件: msobjstl.rar

附件: otsblfgdm.rar

附件: slbiopfs2.rar

附件: TudouUpload.rar

附件: wsock32.rar

你的操作删除，应该一气呵成，不能搁那连着网，一个一个删

你实际上是木马群伴我签名处说的那病毒一起作用。

才这么无奈的。

你实际上操作删除完我说的文件后，应该已经可以正常启动杀毒软件全盘杀了。

但是因为系统目录下一个具有隐藏的、系统的属性的一个dll文件没见在进程里。

所以你很可能重启电脑还无奈的

还有你应该将所有文件压缩在一起发

就可以发来了

因为你受：
d:\software\qq\wsock32.dll
d:\software\qq\vazism.dll
c:\windows\system32\glktdxyve.dll
c:\windows\system32\sxwfpjkhq.dll

这几病毒影响，可能你系统c:\windows\system32文件夹里还有个随机名的、隐藏的、系统的属性的  .dll  文件还存在，重启电脑以后还会继续出来折腾你。

c:\windows\system32\tudouupload.dll这个文件可能是什么软件的吧？


没关系了

c:\windows\system32\otsblfgdm.dll文件就是我说的那个文件，和QQ目录里的那个文件一起删除后，应该就可以解决删除安全软件的问题了。

c:\windows\system32\otsblfgdm.dll，是它。这个DLL似乎只注入explorer.exe，而并有myie。