瑞星卡卡安全论坛

公司电脑中了未知病毒。症状：和AV病毒很象，会把电脑里所有和系统安全有关的软件执行程序删除掉。双击360safe的exe程序立即被删除掉，打开优化大师自动删除掉，黄山IE修复的exe也删除掉，而且google的主页无法显示，360safe的主页也是（其他金山也是，瑞星可以，其他的没测试过），和360safe相关的链接直接跳到yahoo.com.cn（雅虎中国），但页面内容却是百度主页。
　　 我down了N多杀毒工具，要不就是打开被删除，要不安装后压根就没有exe程序。但电脑装的正版瑞星却运行正常，但什么毒也找不出来。第一次重装全盘扫描时发现仍然出现上述问题，而且重装我换了卡巴7，仍然查不出，我怀疑在装软件时我的移动硬盘autorun感染，所以我第2次重装把移动硬盘拆下来还是被感染了。我要崩溃了，如果是电脑里的其他盘有毒，重装后一天查不出毒还是要被感染的啊！哪位大虾能帮帮我啊！帮我到其他网站转载一下，看有谁能解决的啊，现在我搜索引擎只能进百度，还有好多网页打不开。谢谢各位拉！msn：nick_zj111@hotmail.com 在线半小时，跪求高人！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: yumen.JPG

附件: SREngLOG.log

附件: 病毒文件.rar

附件: SREngLOG1.log

附件: SREngLOG2.log

置顶看我那关于安全软件被删除的贴

扫描SRENG日志来看看

日志以附件形式发来

先谢谢斑竹，我看看再来咨询！

斑竹，我扫好了，日志在附件里，麻烦你看一下，谢谢了。我一直加班等你！

http://bbs.ikaka.com/showtopic-8442813-4.aspx
35楼的软件
以下删除文件
d:\PROGRA~1\FLASHG~1\Flashget\cukuhb.dll
C:\WINDOWS\system32\vnd.dll
C:\WINDOWS\system32\nfv.dll
C:\WINDOWS\system32\zrh.dll

d:\PROGRA~1\FLASHG~1\Flashget\
这个文件夹
有没有wsock32.dll文件？

设法找到这三文件：
d:\PROGRA~1\FLASHG~1\Flashget\cukuhb.dll
d:\PROGRA~1\FLASHG~1\Flashget\WSOCK32.DLL
C:\WINDOWS\system32\vnd.dll

压缩后发来

急需病毒样本

文件可能是隐藏的、系统的属性

你需要设置系统显示隐藏的、系统的文件才能看到

请一定要给我这样本看

千万别先删除

d:\progra~1\flashg~1\flashget\cukuhb.dll
c:\windows\system32\zrh.dll

http://www.virscan.org/去检测下吧

谢谢各位，斑竹，我把你说的三个文件压缩在附件里。现在能把这3个文件删除吗？为了安全起见，我打开qq登陆界面又扫了一次，麻烦你再看看，刚才扫的时候忘了开。呵呵！

等着

别动

什么都别动

E:\Program Files\Tencent\QQ\ewlkjo.dll
E:\Program Files\Tencent\QQ\WSOCK32.DLL
d:\PROGRA~1\FLASHG~1\Flashget\cukuhb.dll
C:\WINDOWS\system32\vnd.dll
C:\WINDOWS\system32\nfv.dll
C:\WINDOWS\system32\zrh.dll
d:\PROGRA~1\FLASHG~1\Flashget\WSOCK32.DLL

5楼方法删除（先提取病毒样本）

现在可以了
删除下面五个文件：

d:\PROGRA~1\FLASHG~1\Flashget\cukuhb.dll
d:\PROGRA~1\FLASHG~1\Flashget\WSOCK32.DLL
C:\WINDOWS\system32\vnd.dll
E:\Program Files\Tencent\QQ\WSOCK32.dll
E:\Program Files\Tencent\QQ\ewlkjo.dll

用我那35楼的超级巡警删吧

删除后立即重启电脑，去下载最新SRENG工具：http://www.kztechs.com/sreng/download.html

扫描个新的2.6版的SRENG日志发到论坛上求助打扫残余。

建议你做另一很重要的事

重启电脑后

去设置系统显示隐藏文件、系统文件

然后全机搜索  wsock32.dll  文件

看看除了系统自身的目录里以外

其他地方到底还有没有这个  wsock32.dll  文件

很重要

av靠快车启动？

谢谢兄弟们，不胜感激！我再等等斑竹的回复吧。这病毒是怎么感染的呢？我周五中的，就是在flashget站里找些电影资源，没想到就中彩了。

我重起后，那5个文件除了system32里的那个文件没了，其他的还是存在的。

你怎么操作的？？？

是用超级巡警么？

现在如果没运行那两软件，就可以自己直接删了

如果已运行那软件

就再来日志

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <asi><C:\WINDOWS\system32\vnd.dll>  [File is missing]
————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

cukuhb.dll和ewlkjo.dll在flashget和QQ文件夹里依然存在，都没删除掉。

你现在手工删除不了那几个文件？？？

试试直接删去。

还有你以后要记住

不论哪个论坛里求助

附件发东西要接贴发

点击：我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了。

你不接贴发

谁有本事没事去回头看你的第1楼的附件的改变？？？

唉..................

来回跑累死了

大哥，我的确按照超级巡警那个图示操作删除的呀

你到底现在直接去删除，还能不能删？？

我不管你怎么操作的了

我17楼的，你做了没有？？？

现在你的安全软件什么的，还被删除吗？？

呵呵，不好意思，老大，我在下面回帖没看到添加附件，所以就跑回去编辑了。我也觉得来回跑的累，没办法我死脑筋。谢谢你了，我知道就这5个文件，全部删掉就好，刚才要下软件总会弹出flashget，我把它卸载掉，再按你的操作试试，今天肯定搞不定了，太晚了，明天一大早，我弄好再告诉你，应该差不多了，我看主页恢复正常了。

我上午已经把病毒彻底清除了，全盘扫描了一下。谢谢斑竹和aacc，万分感激！！！