瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 日志分析练习080811
lqqk7 - 2008-8-11 17:09:00
感觉在病毒区回帖分析日志的总是就那几个实习生,很多人好像没怎么露过头,不知道是出于什么原因........
如果确实想学日志分析,但是担心回帖有错误的,可以到这里来练习。
每天我会从其他版块找几个日志贴过来,所有实习生都可以来分析一下,不用怕出错,这个东西本身就是要靠多积累经验的。
每天挑选的日志数量不等,也不一定都有问题,完全是我随机抽取的。
诸位可以放心大胆的来练习,把自己的分析结果贴上来一起交流,结果是不计分的,完全不要有顾虑!
其他版主有空的话也继续补充吧,给实习生们更多练习的机会,实习生群里的人数都上百了,真正认真回帖的却总是就那几个人,可能很多人都是怕出错吧。


本期练习参考分析结果见:34楼35楼36楼
仅供参考,且不提供具体处理步骤;

======================================
日志分析练习索引:
20080811
20080812
20080813
20080815
======================================

附件: 20080811_1.log

附件: 20080811_2.log

附件: 20080811_3.log
fillix - 2008-8-11 17:14:00
:kaka9: hoho刚好我看到了 练一练
fillix - 2008-8-11 17:28:00
No.1 删除
c:\windows\system32\tdfhex.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
c:\program files\internet explorer\explorent.win
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\plugins\winnt64.sys
c:\program files\internet explorer\explorent.dat
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\rmjgvdmm.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\120196.dat
c:\windows\system32\raaryuep.dll

删后修复
注册表
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

驱动
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

浏览器加载项
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
rainyblue - 2008-8-11 18:15:00
第一个日志的处理:
使用Xdelbox重启后删除以下文件
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2F.sys
C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\WINDOWS\system32\120133.dat
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\qnxtkxyx.dll
C:\WINDOWS\system32\mrejlzk\svchost.exe
C:\WINDOWS\system32\offscrlk.exe

使用Sreng在注册表启动项目中
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的
      <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []
删除IE加载项中含有以下文件的项目(或者可以通过卡卡助手修复IE)
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat,
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
rainyblue - 2008-8-11 18:34:00
第二个日志解决方案:
使用Xdelbox删除以下文件
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\tscfgwmijxsj.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\xolehlpjh.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
C:\WINDOWS\system32\gdipro.dll
C:\WINDOWS\system32\sys07003.dll
[C:\WINDOWS\system32\mfc40loc.dll
C:\WINDOWS\system32\kncer32.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\certmgrkd.dll]
C:\WINDOWS\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\kncer32.exe
c:\windows\kncer32.exe
下面驱动取用备份后删除
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\SystemRoot\system32\DRIVERS\sr.sys



使用Sreng在注册表启动项目中
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的
    <kcien32><kncer32.exe>  []
将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
    <AppInit_DLLs><offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>  [N/A]
改成<AppInit_DLLs><kmon.dll>
使用System Detector(或者可以通过附件的映像劫持工具,由于只是分析就不上传了)修复映像劫持项目
叶陵君 - 2008-8-11 19:29:00
回复第一篇
驱动删除
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2f.sys
自启动删除
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdfhex.dll
浏览器用户自行用工具处理,删除名称和映像路径为空的。
删除一些动态链接库


C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\mrejlzk\svchost.exe
C:\WINDOWS\system32\120133.dat
C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\qnxtkxyx.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\jfrwdh.dll

晕啊这里不完整,,,看的怕怕的。。。高手来解释下这边进程模块的情况。
叶陵君 - 2008-8-11 20:11:00
第二篇
删除驱动
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
System32\Drivers\msiffei.sys
system32\drivers\ViBus.sys
用SRE日志工具置空AppInit_DLLs 
删除以下动态链接库
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\tscfgwmijxsj.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\xolehlpjh.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\imgutilhx2.dll
修复映像劫持,可以下载一些工具使用。浏览器加载项靠SRE解决。

第三篇吃个饭在分析。。一个个复制粘贴,你们有没批量粘贴复制的。。
叶陵君 - 2008-8-11 20:43:00
第三篇。感觉没什么问题
删除如下驱动
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat
system32\DRIVERS\secdrv.sys
\SystemRoot\system32\DRIVERS\HBKernel.sys
删除以下动态链接库
D:\瑞星杀毒\RISING\RAV\urutils.dll
浏览器加载项 用户自行清理,名称和路径为空的删了。
rainyblue - 2008-8-11 21:02:00
哈,当然是批量复制啦,复制完在删除这样会快点的:default6:
system32\DRIVERS\secdrv.sys这个是正常的驱动吧?第三篇问题不是好大,应该是用杀毒软件杀过残留下来一些文件吧?
文物2 - 2008-8-11 21:36:00
第一个日志的处理:
用xdelbox重启后删除
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2F.sys
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\WINDOWS\system32\120133.dat
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\qnxtkxyx.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\mrejlzk\svchost.exe
C:\WINDOWS\system32\offscrlk.exe
C:\Program Files\Internet Explorer\ExploreNt.win
C:\WINDOWS\system32\120196.dat
C:\WINDOWS\system32\rmjgvdmm.dll

删后修复注册表:

{0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A>
[]
  {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A>
[]
  {86899D14-95D7-4E22-8AB3-7ACC53076FC9} <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys, N/A>

  {D51510C1-ECEA-45F7-B782-FE0EC2D2535D} <C:\Program Files\Internet Explorer\ExploreNt.win, N/A>

将下列的服务用Sreng删除

[48c2 / 48c2][Stopped/Manual Start]


[b3c2F / b3c2F][Stopped/Manual Start]


用Sreng修复.txt和.ini关联
金星王子 - 2008-8-11 22:16:00
我头一次做这个练习,我处理第一个习题的结果:
注册表:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [(Verified)Beijing Rising Information Technology Corporation Limited]
    <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []    这些键值我感觉很可疑,删除。
驱动程序:\??\C:\WINDOWS\system32\48c2.sys 
\??\C:\WINDOWS\system32\b3c2F.sys      这两项感觉很陌生,如果没弄错的话应该删除。
浏览器BHO:{0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A>
[]
  {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A>
[]  有些陌生,但不确定是否应该删除。
正在运行的程序:[C:\WINDOWS\system32\mttwfh.dll]  [N/A, ]
    [C:\WINDOWS\system32\tdffdl.dll]  [N/A, ]
    [C:\WINDOWS\system32\dvgydbuad.dll]  [N/A, ]
    [C:\WINDOWS\system32\raaryuep.dll]  [N/A, ]
    [C:\WINDOWS\system32\lweurqhx.dll]  [N/A, ]
    [C:\WINDOWS\system32\dispexcb.dll]  [N/A, ]
    [C:\WINDOWS\system32\cliconfgzx.dll]  [N/A, ]
[C:\WINDOWS\system32\120133.dat]  [N/A, ]
    [C:\WINDOWS\system32\dpvvoxmh.dll]  [N/A, ]
    [C:\WINDOWS\system32\qnxtkxyx.dll]  [N/A, ]
    [C:\WINDOWS\system32\jfrwdh.dll]  [N/A, ]
    [C:\WINDOWS\system32\tdfhex.dll]  [N/A, ]
    [C:\WINDOWS\system32\tdffdl.dll]  [N/A, ]
    [C:\WINDOWS\system32\mttwfh.dll]  [N/A, ]
[C:\WINDOWS\system32\120133.dat]  [N/A, ]
    [C:\WINDOWS\system32\dvgydbuad.dll]  [N/A, ]
    [C:\WINDOWS\system32\cliconfgzx.dll]  [N/A, ]
    [C:\WINDOWS\system32\dispexcb.dll]  [N/A, ]
    [C:\WINDOWS\system32\lweurqhx.dll]  [N/A, ]
    [C:\WINDOWS\system32\raaryuep.dll]  [N/A, ]
    [C:\WINDOWS\system32\qnxtkxyx.dll]  [N/A, ]    这些键值十分陌生,而且非常多,必须删除。实在不行可配合其他安全辅助工具进行清理。由于处在system32文件夹下,不是很容易就能清除干净的。
删除完后,这些地方  入口点错误:RegEnumValueA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll)
入口点错误:RegEnumValueW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll)
入口点错误:RegOpenKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll)
入口点错误:CreateFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll)
入口点错误:CreateFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll)应该用SRENG修复。
文物2 - 2008-8-11 22:32:00
第二个日志解决方案:

用xdelbox重启后删除
c:\windows\system32\kncer32.exe
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\tscfgwmijxsj.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\xolehlpjh.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
c:\windows\System32\Drivers\msiffei.sys
c:\windows\system32\drivers\NPF.sys
C:\WINDOWS\system32\gdipro.dll
C:\WINDOWS\system32\sys07003.dll
C:\WINDOWS\system32\mfc40loc.dll
c:\windows\system32\srpcss.dll

修复注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <kcien32><kncer32.exe>  []
将kcien32键值删除
从[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]中删除键值
<{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\zofaianu.dll>  []
    <{00050005-0005-0005-0005-00050005BB15}><C:\WINDOWS\system32\cliconfgzx.dll>  [File is

missing]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\adsntzt.dll>  [File is

missing]
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll>  [File is

missing]
    <{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}><C:\WINDOWS\system32\certmgrkd.dll>  []
    <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\avicapwm.dll>  []
    <{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll>  [File is

missing]
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll>  [File is

missing]
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll>  [File is

missing]
    <{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\tscfgwmijxsj.dll>  [File is

missing]
    <{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\imgutilhx2.dll>  [File is

missing]
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\xolehlpjh.dll>  [File is

missing]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\dispexcb.dll>  [File is

missing]
    <{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll>  [File is

missing]

从[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]中删除键值

<pygvdsxs.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <cliconfgzx.dll><C:\WINDOWS\system32\cliconfgzx.dll>  [File is missing]
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  [File is missing]
    <bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll>  [File is missing]
    <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll>  []
    <avicapwm.dll><C:\WINDOWS\system32\avicapwm.dll>  []
    <imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll>  [File is missing]
    <jpkerkxk.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <qvrxpduj.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <hcihisoj.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <bpidufhz.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <mqzuhbva.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <dimygspd.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll>  [File is missing]
    <lweurqhx.dll><C:\WINDOWS\system32\lweurqhx.dll>  [File is missing]
    <tscfgwmijxsj.dll><C:\WINDOWS\system32\tscfgwmijxsj.dll>  [File is missing]
    <plrhrebn.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <xolehlpjh.dll><C:\WINDOWS\system32\xolehlpjh.dll>  [File is missing]
    <dispexcb.dll><C:\WINDOWS\system32\dispexcb.dll>  [File is missing]
    <pvuzehed.dll><C:\WINDOWS\system32\zofaianu.dll>  []
    <zofaianu.dll><C:\WINDOWS\system32\zofaianu.dll>  []

用Sreng把三个服务删除


[IIS Manager  / IIS Manager ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp><N/A>

[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>
[WinPcap Packet Driver (NPF) / NPF][Running/Manual Start]
  <system32\drivers\NPF.sys><CACE Technologies>

用Sreng将.txt ,.chm,.ini的文件关联修复好

用Sreng将<AppInit_DLLs><offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll

pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll

jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>  [N/A]

修改,只剩下kmon.dll

<AppInit_DLLs><
kmon.dll>  [N/A]
魔法学徒 - 2008-8-11 23:25:00


引用:
原帖由 rainyblue 于 2008-8-11 18:34:00 发表
第二个日志解决方案:
使用Xdelbox删除以下文件
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\syst......

C:\WINDOWS\SystemRoot\system32\DRIVERS\sr.sys是正常文件,不必删除

sreng本身就可以删除IFEO劫持项目
魔法学徒 - 2008-8-11 23:29:00


引用:
原帖由 叶陵君 于 2008-8-11 20:11:00 发表
第二篇
删除驱动
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
System32\Drivers\msiffei.sys
system32\drivers\ViBus.sys
用SRE日志工具置空AppInit_DLLs 
删除以下动态链接库
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\sys

system32\drivers\ViBus.sys正常驱动
魔法学徒 - 2008-8-11 23:33:00


引用:
原帖由 叶陵君 于 2008-8-11 20:43:00 发表
  第三篇。感觉没什么问题
删除如下驱动
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat
system32\DRIVERS\secdrv.sys
\SystemRoot\system32\DRIVERS\HBKernel.sys
删除以下动态链接库
D:\瑞星杀毒\RISING\RAV\urutils.dll
浏览器加载项 用户自行清理

这个错得有点离谱

system32\DRIVERS\secdrv.sys
D:\瑞星杀毒\RISING\RAV\urutils.dll
都是正常文件,第二个还是瑞星的
魔法学徒 - 2008-8-11 23:44:00


引用:
原帖由 文物2 于 2008-8-11 22:32:00 发表
第二个日志解决方案:

用xdelbox重启后删除
c:\windows\system32\kncer32.exe
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\......

[WinPcap Packet Driver (NPF) / NPF][Running/Manual Start]
  <system32\drivers\NPF.sys><CACE Technologies>
这一项是正常的

能看到c:\windows\system32\srpcss.dll很不错,但是加载这一项的服务你没有修改还原
[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll><N/A>
叶陵君 - 2008-8-12 0:32:00
:default2:  被网上的观点给左右了,还看到瑞星那个签名都没掉了。就大胆删了它。。
rainyblue - 2008-8-12 0:33:00
呵呵,多谢学长指正,我也不确定sr.sys是否病毒驱动,故采用先备份后删除的方法。我知道Sreng可以修复,但是劫持比较多的情况下,使用Sreng来修改比较累,所以还是推荐使用比较简单的软件来修复映像劫持。
魔法学徒 - 2008-8-12 0:47:00


引用:
原帖由 rainyblue 于 2008-8-12 0:33:00 发表
呵呵,多谢学长指正,我也不确定sr.sys是否病毒驱动,故采用先备份后删除的方法。我知道Sreng可以修复,但是劫持比较多的情况下,使用Sreng来修改比较累,所以还是推荐使用比较简单的软件来修复映像劫持。

病毒救援的原则是使用尽量少的第三方工具、将工具的每一项功能充分发挥
顺便说一句,SREng可以一次选择多个项目,批量删除
rainyblue - 2008-8-12 1:11:00
…………被这篇文章误导了http://nkevin.blog.163.com/blog/static/448194812007818115139284/
文物2 - 2008-8-12 8:58:00


引用:
原帖由 魔法学徒 于 2008-8-11 23:44:00 发表
[quote] 原帖由 文物2 于 2008-8-11 22:32:00 发表
第二个日志解决方案:

用xdelbox重启后删除
c:\windows\system32\kncer32.exe
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\



魔法学徒学长,谢谢。RpcSs的服务的确是应该删除的。

第二个日志中,我因为没看到嗅探器存在。同时看到过一篇文章,ARP病毒会通过自行安装或覆盖原有的npf.sys。所以才判断他应该被删除的。
文物2 - 2008-8-12 9:45:00
第三个日志处理结果:

用xdelbox重启后删除下面文件
C:\WINDOWS\system32\mghefy.dll
C:\WINDOWS\system32\ydggsx.dll
c:windows\system32\DRIVERS\HBKernel.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat

修复注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
中的

<{000030AE-0380-4351-8244-EE98A3240370}><C:\WINDOWS\system32\mghefy.dll>  [File is missing]
    <{0086DD39-EB8E-4504-A085-AC8A433E34D0}><C:\WINDOWS\system32\ydggsx.dll>  [File is missing]

用Sreng删除下面的服务
HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>


[wxuro / wxuro][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>
没有眼泪 - 2008-8-12 10:51:00
第一篇日志方法:
使用XDelBox删除以下文件
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdfhex.dll
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\plugins\winnt64.sys
c:\program files\internet explorer\explorent.win
c:\windows\system32\120196.dat
c:\windows\system32\rmjgvdmm.dll
启动项目 -- 注册表之如下项删除:
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
卡卡助手修复或重装



第二篇日志:
从一样的正常系统中提取C:\WINDOWS\system32\rpcss.dll拷到本系统C:\WINDOWS\system32\下
使用XDelBox删除以下文件
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\msacm32.drv
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\srpcss.dll
c:\docume~1\admini~1\locals~1\temp\1.tmp

    启动项目 -- 注册表之如下项删除:
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[imgutilhx2.dll]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
注意该项[AppInit_DLLs]修改:把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<kmon.dll>
所有劫持项用SRENG修复..

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>




第三篇日志:
使用XDelBox删除以下文件
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\hbkernel.sys
启动项目 -- 注册表之如下项删除:
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>

启动项目 -- 服务-- 驱动程序之如下项删除:
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
codegeass - 2008-8-12 16:11:00
第一篇:
1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
启动项:
C:\WINDOWS\system32\offscrlk.exe
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
驱动程序:
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2F.sys

浏览器加载项:
C:\Program Files\Internet Explorer\ExploreNt.win
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
2.删除重启后使用SREng修复下面各项:
注册表:
    <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []

浏览器加载项:
[]
  {86899D14-95D7-4E22-8AB3-7ACC53076FC9} <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys, N/A>
[]
  {D51510C1-ECEA-45F7-B782-FE0EC2D2535D} <C:\Program Files\Internet Explorer\ExploreNt.win, N/A>
[]
  {0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A>
[]
  {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A>
雨君009 - 2008-8-12 16:31:00
第一个日志的处理:
1.建议使用XDelBox删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\windows\system32\120133.dat
c:\windows\system32\120196.dat
c:\windows\system32\tdfhex.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
c:\program files\internet explorer\explorent.win
%systemroot%\system32\shdocvw.dll
c:\program files\internet explorer\plugins\winnt64.sys
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[SearchAssistantOC]    <%SystemRoot%\system32\shdocvw.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>

**************以上分析报告由SREngLog分析助手提供******************
分析:草莽书生
时间:2008-8-12
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)


自动清理方案操作步骤

1。下载通用病毒杀灭机正式版(点击下载),请先参考软件帮助说明。

2。复制符号区域的修复指令或者下载附件中的修复指令文件*.dat 。

  ========指令正文,复制以下内容========


[复制到剪贴板]
CODE:
复制指令区



========指令结束,复制以上内容========

3。打开通用病毒杀灭机(打不开的建议改名,如abc.exe,abc.bat等),复制修复指令者使用剪贴板导入;下载修复指令文件的使用文件导入
    重启即可删除病毒,并帮助你删除自启动项和禁用服务。

(注:第一次重启有时候会弹出文件夹,那是由于自启动项目还没有删除,而文件已经被XDELBOX删除并用文件夹替代的结果)
雨君009 - 2008-8-12 16:38:00
第二个日志的处理:

1.建议使用XDelBox删除以下文件
c:\windows\system32\zofaianu.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll
kncer32.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\ctfmon.exe
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\aurora.scr
c:\windows\system32\svchost.exe -k netsvcs-->%windir%\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\hidserv.dll
c:\windows\system32\svchost.exe -k netsvcs-->c:\windows\system32\srsvc.dll
c:\windows\system32\svchost -k rpcss-->c:\windows\system32\srpcss.dll
c:\windows\system32\drivers\sr.sys
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\mouhid.sys
c:\docume~1\admini~1\locals~1\temp\1.tmp
c:\windows\system32\drivers\hidusb.sys
http://www.ylmf.com

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
注意该项[AppInit_DLLs]修改:把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[ctfmon.exe]    <C:\WINDOWS\system32\ctfmon.exe>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[SCRNSAVE.EXE]    <C:\WINDOWS\system32\Aurora.scr>

    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[Help and Support / helpsvc]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>
[Human Interface Device Access / HidServ]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll>
[System Restore Service / srservice]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll>
[Remote Procedure Call (RPC) / RpcSs]    <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[System Restore Filter Driver / sr]    <\SystemRoot\system32\DRIVERS\sr.sys>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[Mouse HID Driver / MouHid]    <system32\drivers\MouHid.sys>
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>
[Microsoft HID Class Driver / HidUsb]    <system32\drivers\HidUsb.sys>

    系统修复-- 浏览器加载项之如下项删除:
[YlmF]    <http://www.ylmf.com>

[
雨君009 - 2008-8-12 16:42:00
第三个日志的处理:

1.建议使用XDelBox删除以下文件
c:\windows\system32\ravext.dll
c:\windows\system32\mghefy.dll
c:\windows\system32\ydggsx.dll
%systemroot%\system32\shmgrate.exe ocinstalluserconfigie
%systemroot%\system32\shmgrate.exe ocinstalluserconfigoe
%systemroot%\system32\regsvr32.exe /s /n /i:/userinstall %systemroot%\system32\themeui.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\hidserv.dll
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\hbkernel.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{32CD708B-60A7-4C00-9377-D73EAA495F0F}]    <C:\WINDOWS\system32\RavExt.dll>
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>
[Internet Explorer]    <%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>
[Outlook Express]    <%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>
[Themes Setup]    <%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>

    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[Human Interface Device Access / HidServ]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[Secdrv / Secdrv]    <system32\DRIVERS\secdrv.sys>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
Minus - 2008-8-12 17:29:00
第一个

建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\explorent.win
c:\windows\system32\120133.dat
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\壁纸自动换.exe
nwiz.exe /install
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
c:\windows\system32\b3c2f.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[switch]    <c:\windows\system32\壁纸自动换.exe>
[nwiz]    <nwiz.exe /install>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
Minus - 2008-8-12 17:51:00
第二个

c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\program files\winrar\rarext.dll
; nwiz.exe /install
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll
kncer32.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\svchost.exe -k netsvcs-->%windir%\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\hidserv.dll
c:\windows\system32\svchost.exe -k netsvcs-->c:\windows\system32\srsvc.dll
c:\windows\system32\svchost -k rpcss-->c:\windows\system32\srpcss.dll
c:\docume~1\admini~1\locals~1\temp\1.tmp
http://www.ylmf.com
d:\program files\thunder network\thunder\components\inmedia\peerid.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[nwiz]    <; nwiz.exe /install>
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
注意该项[AppInit_DLLs]修改:把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>
[load]    <>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
注意该项[AppInit_DLLs]修改:把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
注意该项[AppInit_DLLs]修改:把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Help and Support / helpsvc]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>
[Human Interface Device Access / HidServ]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll>
[System Restore Service / srservice]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll>
[Remote Procedure Call (RPC) / RpcSs]    <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>

    系统修复-- 浏览器加载项之如下项删除:
[YlmF]    <http://www.ylmf.com>
[GerneralPeerID Class]    <d:\Program Files\Thunder Network\Thunder\Components\InMedia\peerid.dll>
tjcum210 - 2008-8-12 22:03:00
xdelbox里一般要写完整路径,不知道路径的情况下可以写c:/windows/文件和c:/windows/system32/文件,另外你误删掉好多良民
12
查看完整版本: 日志分析练习080811
© 2000 - 2026 Rising Corp. Ltd.