瑞星卡卡安全论坛

有时候会连着蹦5 6个出来，有时候又一个没有。还有个叫SVCHOST的也有好几个杀毒杀不掉，救命呀```````
SRE的扫描报告在下面

附件: SREngLOG.log (2008-8-27 8:21:59, 49.24 K)
该附件被下载次数 145

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0)

SVCHOST是系统进程，不一定是病毒

删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSDOS.bat]
    <IFEO[MSDOS.bat]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntldr.exe]
    <IFEO[ntldr.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pagefile.pif]
    <IFEO[pagefile.pif]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sos.exe]
    <IFEO[sos.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sxs.exe]
    <IFEO[sxs.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\test.exe]
    <IFEO[test.exe]><AUTOGUARDER GUARDED.>  [N/A]

删除服务
[KEHWDPTAA / HQOICKKYL][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k LGGQKYFED-->C:\WINDOWS\vHfCSnHbtLID2010.DLL><N/A>
[Intel Chip Group / IntelChip][Running/Auto Start]
  <C:\WINDOWS\system32\hhcmd.exe><>

删除驱动
[Atheros AR5008 Wireless Network Adapter Service / AR5416][Stopped/Manual Start]
  <system32\DRIVERS\ar5416.sys><N/A>

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\vhfcsnhbtlid2010.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[KEHWDPTAA / HQOICKKYL]    <C:\WINDOWS\system32\svchost.exe -k LGGQKYFED-->C:\WINDOWS\vHfCSnHbtLID2010.DLL>


附件清除映像劫持

附件: 机器狗&映像劫持修复工具.rar

1、以上红色项目为安全工具创建的IFEO项目，作用是对病毒文件进行映相劫持，不需删除；

2、以上蓝色项目个人认为是正常驱动程序，不需删除；

3、个人认为以下服务项目有问题：
[DNS Service / DNSService][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k NetSvr-->C:\WINDOWS\System32\dnssvr.dll><N/A>
[KEHWDPTAA / HQOICKKYL][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k LGGQKYFED-->C:\WINDOWS\vHfCSnHbtLID2010.DLL><N/A>
[Intel Chip Group / IntelChip][Running/Auto Start]
  <C:\WINDOWS\system32\hhcmd.exe><>

4、麻烦楼主将以下三个文件分别用WINRAR压缩，把压缩包上传：
C:\WINDOWS\System32\dnssvr.dll
C:\WINDOWS\vHfCSnHbtLID2010.DLL
C:\WINDOWS\system32\hhcmd.exe

hhcmd.exe
没签名
难道是假冒的？:default2:

SVCHOST.exe这个服务宿主程序在任务管理器中出现多个十分正常，具体请GOOGLE下，先从了解系统基础知识开始……

hhcmd.exe是病毒吧
hkcmd.exe这个是正常程序吧

要我上传的三个文件，只有第一个还找的到，第二，三个搜索不到了

附件: dnssvr.dll.rar (2008-8-27 8:54:40, 74 B)
该附件被下载次数 214

:kaka12: 用四楼的方法修改过后好象正常了。谢谢各位

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽