一个杀不掉的病毒 bbs.ikaka.com

卫青 - 2008-8-4 23:46:00

不好意思现在又有一个解决不了的难题.请求个位高手来帮助!!!!
本人的电脑是 XP Professional 的.最近的日子里一直有一个
Tyojan.Win32.Undef.gzl 病毒杀不掉,一直严重到杀毒软件不能升级!!!!
请求个位高手来帮助:default87::default87::default87:
附上杀毒软件的结果图.

天仁 - 2008-8-4 23:48:00

建议使用System Repair Engineer扫描日志作为附件上传，以便于解答～
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

如果无法运行sreng，请到http://bbs.ikaka.com/showtopic-8517758.aspx下载修改后的sreng工具
或者直接下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=412527

卫青 - 2008-8-5 0:03:00

弄好了.
病毒名称:Trojan.Win32.Undef.gzl
处理结果:重新启动计算机后删除文件
查杀方式:手动查杀
路径: C:\WINDOWS\system32
文件: WinNt32.dll

附件: 2SREngLOG.log

天仁 - 2008-8-5 1:31:00

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\docume~1\k\locals~1\temp\rsv4.tmp
以下为可疑项目，建议先备份再删除，可以在http://www.virustotal.com/zh-cn/测试
c:\windows\system32\drivers\tch27.sys
c:\windows\system32\drivers\saf63.sys
c:\windows\system32\drivers\rlucm.sys
c:\windows\system32\drivers\qyf38.sys
c:\windows\system32\drivers\mf08y8.sys
c:\windows\system32\drivers\got63.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[lWhOkNH] <>
[vbksrofa] <>
[mpfanvqg] <>

启动项目－－服务－－驱动程序之如下项禁用：
[tcH27 / tcH27] <\SystemRoot\System32\Drivers\tcH27.sys>
[Saf63 / Saf63] <\SystemRoot\System32\Drivers\Saf63.sys>
[rluc / rlucm] <\SystemRoot\System32\DRIVERS\rlucm.sys>
[qyF38 / qyF38] <\SystemRoot\System32\Drivers\qyF38.sys>
[mf08y8 / mf08y8] <\SystemRoot\system32\drivers\mf08y8.sys>
[goT63 / goT63] <\SystemRoot\System32\Drivers\goT63.sys>

卫青 - 2008-8-5 17:29:00

谢谢指点.
现在的问题只有一个了:
注册表里AppInit.DLLs这个项目的数据一直都是kmon.dll，没有办法修改成0，即使把system32里的kmon.dll删除还是没有办法修改注册表里这个数据，不知道有什么办法能把这个数值改回来。谢谢。

附件: SREngLOG.log

1/2理想 - 2008-8-5 17:53:00

这个是瑞星软件改得，楼主不必担心

天马▲行空 - 2008-8-5 18:58:00

那个不用改，是瑞星为了更好保护你的电脑更改的数据

卫青 - 2008-8-5 22:07:00

]非常感谢大家的帮助.:default54: :default54:
原来是瑞星为了更好保护电脑的.虚惊了一场。:default3: :default3:
但是用System Repair Engineer扫描后还有两个入口点错误。API HOOK
入口点错误：CreateProcessA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0x00DC1FFD)
入口点错误：CreateProcessW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0x00DC20E5)
请帮忙看看是否有危险。怎么解决。
谢谢了！！！！

附件: SREngLOG.log

附件: SREngLOG.log

aaccbbdd - 2008-8-5 22:08:00

入口点是安全软件搞的
楼主不放心
可再上传日志

卫青 - 2008-8-5 22:14:00

这是当前的日至

附件: SREngLOG.log

aaccbbdd - 2008-8-5 22:19:00

C:\WINDOWS\system32\BHDCRegC.exe自己测下
http://www.virustotal.com/zh-cn/

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm）
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\windows\System32\Drivers\goT63.sys
C:\windows\system32\drivers\mf08y8.sys
2.删除重启后使用SREng修复下面各项：
启动项目－－服务－－ Win32服务应用程序之如下项禁用
[goT63 / goT63][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\goT63.sys><N/A>
[mf08y8 / mf08y8][Running/Boot Start]
<\SystemRoot\system32\drivers\mf08y8.sys><N/A>

再说句
开始-运行
dllcache
找到
Explorer.exe
替换WINDOWS文件夹的同名文件

fairsentence - 2008-8-5 22:48:00

是卡卡6加载的，不用管

卫青 - 2008-8-7 15:44:00

还是有不少的入口点错误用System Repair Engineer扫描后的日志附上，请帮忙指点纠正。
万分感谢！！！！:default34: :default58: :default54:

附件: SREngLOG.log

aaccbbdd - 2008-8-7 16:00:00

可疑驱动
[Saf63 / Saf63][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\Saf63.sys><N/A>
[tcH27 / tcH27][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\tcH27.sys><N/A>

C:\windows\System32\Drivers\Saf63.sys
C:\windows\System32\Drivers\tcH27.sys
上传给瑞星测下

1/2理想 - 2008-8-8 1:48:00

用xdelbox删除以下文件
下载地址： http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0 XDELBOX1.7支持奥运版
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，勾选抑制再生
导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\System32\Drivers\goT63.sys
C:\WINDOWS\system32\drivers\mf08y8.sys
C:\WINDOWS\System32\Drivers\qyF38.sys
C:\WINDOWS\System32\DRIVERS\rlucm.sys
C:\WINDOWS\System32\Drivers\Saf63.sys
C:\WINDOWS\System32\Drivers\tcH27.sys

sreng-》启动项目-》服务-》驱动程序，删除
[goT63 / goT63][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\goT63.sys><N/A>
[mf08y8 / mf08y8][Running/Boot Start]
<\SystemRoot\system32\drivers\mf08y8.sys><N/A>
[qyF38 / qyF38][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\qyF38.sys><N/A>
[rluc / rlucm][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\rlucm.sys><N/A>
[Saf63 / Saf63][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\Saf63.sys><N/A>
[tcH27 / tcH27][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\tcH27.sys><N/A>

如图：注意勾选抑制再生

粉碎星辰 - 2008-8-11 0:26:00

删除：

c:\docume~1\k\locals~1\temp\rsv4.tmp
以下为可疑项目，建议先备份再删除，可以在http://www.virustotal.com/zh-cn/测试
c:\windows\system32\drivers\tch27.sys
c:\windows\system32\drivers\saf63.sys
c:\windows\system32\drivers\rlucm.sys
c:\windows\system32\drivers\qyf38.sys
c:\windows\system32\drivers\mf08y8.sys
c:\windows\system32\drivers\got63.sys

瑞星卡卡安全论坛