高手来看看！SREng打开了后说…… bbs.ikaka.com

痛恨恶意插件者 - 2008-8-15 17:59:00

今天浏览了个不该看的网页:kaka4: 后悔啊
然后进程就多出了一个“4ff”，开始弹广告。这会弹出个对话框，上述“全球通”。我晕……不过这确实弹出来了！
我用金山清理专家，弄出了四个木马之后就再也找不到其他，可这个“4ff”却依然故我。
用SREng进行扫描，刚扫到一半它就弹出来我附件中的东西，由于我是用QQ截的图，所以只能压缩再传上来。
现在SREng在我右下角去不掉了。
哦，对了，进程中还有两个iexplore.exe

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: QQ截图未命名.rar

痛恨恶意插件者 - 2008-8-15 18:05:00

现在SREng打不开了，瑞星的高手们帮帮忙啊

fanfu630 - 2008-8-15 18:10:00

无法运行SREng,请楼主到http://bbs.ikaka.com/showtopic-8517758.aspx下载修改后的sreng工具试试

aaccbbdd - 2008-8-15 18:11:00

http://bbs.ikaka.com/showtopic-8517758.aspx
这里的SRENG

痛恨恶意插件者 - 2008-8-15 18:17:00

这是用改良版SREng的扫描日志
麻烦各位高手了

附件: SREngLOG.log

aaccbbdd - 2008-8-15 18:26:00

附件删除以下文件，提取并病毒样本
C:\root\yxyeaholes\scvhost.exe
C:\WINDOWS\system32\4ff.exe
C:\windows\System32\DRIVERS\9syld3.sys
C:\windows\system32\drivers\o8qbjjy0d2.sys
删除服务
[PnkBstrA / PnkBstrA][Running/Auto Start]
<C:\WINDOWS\system32\PnkBstrA.exe><N/A>
[Logical Disk Manager Amdinistrative oboqyy / oboqyy][Running/Auto Start]
<c:\root\yxyeaholes\scvhost.exe><>
[lxea / lxea][Running/Auto Start]
<C:\WINDOWS\system32\4ff.exe><Microsoft Corporation>
删除驱动
[o8qbjjy0d2 / o8qbjjy0d2][Stopped/Boot Start]
<\SystemRoot\system32\drivers\o8qbjjy0d2.sys><N/A>
[9syld3 / 9syld3][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\9syld3.sys><>

附件: 文件删除及打包工具.zip

痛恨恶意插件者 - 2008-8-15 18:40:00

大哥详细点啊，我是个门外汉，我用你给我的东西删除了你说的那些文件，然后点了“手动打包”，桌面上就出来了两个_BackUp_Manual_

aaccbbdd - 2008-8-15 18:43:00

重启计算机才能删除文件的

对
就那个
上传上来

SRENG-启动项目－－服务－－ Win32服务应用程序之如下项禁用：

[PnkBstrA / PnkBstrA][Running/Auto Start]
<C:\WINDOWS\system32\PnkBstrA.exe><N/A>
[lxea / lxea][Running/Auto Start]
<C:\WINDOWS\system32\4ff.exe><Microsoft Corporation>

SRENG-启动项目－－服务－－驱动程序之如下项禁用
[o8qbjjy0d2 / o8qbjjy0d2][Stopped/Boot Start]
<\SystemRoot\system32\drivers\o8qbjjy0d2.sys><N/A>
[9syld3 / 9syld3][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\9syld3.sys><>

痛恨恶意插件者 - 2008-8-15 18:52:00

我上传不上来，它说不支持此类扩展名附件的上传，我只好把它搞成一个文件夹再把扩展名去掉，最后再弄成压缩文件传上来了，现在里面装的是.exe的

附件: _BackUp_.rar

aaccbbdd - 2008-8-15 19:08:00

新日志看看
2.6的
http://www.kztechs.com/sreng/download.html

痛恨恶意插件者 - 2008-8-15 19:15:00

这是新SREng的扫描日志

附件: SREngLOG.log

痛恨恶意插件者 - 2008-8-15 19:16:00

那个“4ff”是可以再生的，我现在在不断地从system32里删掉它

aaccbbdd - 2008-8-15 19:23:00

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm 的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\pnkbstra.exe
c:\root\yxyeaholes\scvhost.exe
c:\windows\system32\drivers\9syld3.sys
c:\windows\system32\drivers\o8qbjjy0d2.sys
c:\windows\system32\4ff.exe

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[PnkBstrA / PnkBstrA] <C:\WINDOWS\system32\PnkBstrA.exe>
[Logical Disk Manager Amdinistrative oboqyy / oboqyy] <c:\root\yxyeaholes\scvhost.exe>
[lxea / lxea] <C:\WINDOWS\system32\4ff.exe>

启动项目－－服务－－驱动程序之如下项禁用：
[9syld / 9syld3] <\SystemRoot\System32\DRIVERS\9syld3.sys>
[o8qbjjy0d2 / o8qbjjy0d2] <\SystemRoot\system32\drivers\o8qbjjy0d2.sys>

痛恨恶意插件者 - 2008-8-15 19:56:00

我照你说的做了，没用啊，它依然故我

痛恨恶意插件者 - 2008-8-15 19:57:00

谁还有招啊～～实在不行我就不得不一键恢复了……:default2:

九魂 - 2008-8-15 20:02:00

你运气算不错勒，我进程里有12个svchost.exe.中毒比你还深，都找不到杀毒的办法

aaccbbdd - 2008-8-15 20:02:00

是否按照要求严格操作了？
新日志看下

瑞星卡卡安全论坛