小聪看看我的日志，中了Rootkit.Vanti.gen

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛小聪看看我的日志，中了Rootkit.Vanti.gen

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 2 3 456 7 8

5 / 8 页

跳转页

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-16 23:45 \| 短消息资料字号：小中大 41楼我没有叫你动SREng的“启动项目”-“注册表”里的东西呀。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

初生襁褓狮

帖子:57
注册: 2006-06-16
来自:

发表于： 2006-06-16 23:49 | 只看楼主 短消息资料

字号：小中大 42楼

引用:

【轩辕小聪的贴子】用SREng在“启动项目”-“注册表”中删除以下项目：
<{371ED9B6-0791-49B1-A81E-A6B1688395C7}><C:\WINDOWS\system32\Liwl.dll> []
<{768D0A86-7EF7-458B-9BC6-9B33D56CDC1A}><C:\WINDOWS\system32\Itoc.dll> []
<{0A20D2A2-06E6-4C36-B7C3-1FE3CBCF4935}><C:\WINDOWS\system32\Toyu.dll> []
<{F8E7F6EE-2FC8-4401-9880-9BF8F9F19134}><C:\WINDOWS\system32\Qxbh.dll> []
<{681D800C-244B-4909-B1B2-F76CA223DBCB}><C:\WINDOWS\system32\Ayvhi.dll> []
<{F4396596-DF19-49C2-A4AB-C61AB7B294BE}><C:\WINDOWS\system32\Tcjai.dll> []
<{40FEC5FD-DB78-4330-BA9B-92E479D1B856}><C:\WINDOWS\system32\Tief.dll> []
<{0717E5D4-3DD5-4A6C-9B25-9F0BC0EB6023}><C:\WINDOWS\system32\Ounry.dll> []
<{A704BC54-C456-47C3-9107-D29CCB655B83}><C:\WINDOWS\system32\Pfou.dll> []
<{4FD78CDB-43C2-4B78-A0E7-75793731F1F9}><C:\WINDOWS\system32\Lmfg.dll> []
<{4828521B-BCD5-497C-B808-E235E552DF4C}><C:\WINDOWS\system32\Rjtt.dll> []
<{109EAE3B-BF61-47C6-A229-43193206A671}><C:\WINDOWS\system32\Dwlzcq.dll> []
<{23D025A7-1685-4869-921F-67659D0D05A4}><C:\WINDOWS\system32\Lpkw.dll> []
<{D5E8C5A5-695E-4176-A422-3D49F4B6F11F}><C:\WINDOWS\system32\Msvsy.dll> []
<{EFF4838A-6E75-4014-B4D9-0F2EF73C98C3}><C:\WINDOWS\system32\Yhsri.dll> []
<{580F23F0-5328-4077-A2ED-FEB7EE963BF8}><C:\WINDOWS\system32\Byaa.dll> []
<{32A05615-2627-4A39-8507-1073E3E3A1B2}><C:\WINDOWS\system32\Baxw.dll> []
<{B98FE735-23CE-45BE-B750-E13258823516}><C:\WINDOWS\system32\Gqqxjt.dll> []
<{5E5227F8-D86E-48DA-AFC8-94278379E6B9}><C:\WINDOWS\system32\Tgjw.dll> []
<{1D5700DB-A640-41A3-BED5-A5C3EB203129}><C:\WINDOWS\system32\Zuziw.dll> []

在“系统修复”-“浏览器加载项”中删除：
[]
{0717E5D4-3DD5-4A6C-9B25-9F0BC0EB6023} <C:\WINDOWS\system32\Ounry.dll, N/A>
[]
{0A20D2A2-06E6-4C36-B7C3-1FE3CBCF4935} <C:\WINDOWS\system32\Toyu.dll, N/A>
[]
{109EAE3B-BF61-47C6-A229-43193206A671} <C:\WINDOWS\system32\Dwlzcq.dll, N/A>
[]
{1D5700DB-A640-41A3-BED5-A5C3EB203129} <C:\WINDOWS\system32\Zuziw.dll, N/A>
[]
{23D025A7-1685-4869-921F-67659D0D05A4} <C:\WINDOWS\system32\Lpkw.dll, N/A>
[BrowserHelper Class]
{2D99E8F4-56B7-457B-9A92-61B5D247D263} <C:\WINDOWS\system32\WinDefendor.dll, TODO: <公司名>>
[]
{32A05615-2627-4A39-8507-1073E3E3A1B2} <C:\WINDOWS\system32\Baxw.dll, N/A>
[]
{371ED9B6-0791-49B1-A81E-A6B1688395C7} <C:\WINDOWS\system32\Liwl.dll, N/A>
[]
{40FEC5FD-DB78-4330-BA9B-92E479D1B856} <C:\WINDOWS\system32\Tief.dll, N/A>
[]
{4828521B-BCD5-497C-B808-E235E552DF4C} <C:\WINDOWS\system32\Rjtt.dll, N/A>
[]
{4FD78CDB-43C2-4B78-A0E7-75793731F1F9} <C:\WINDOWS\system32\Lmfg.dll, N/A>
[]
{580F23F0-5328-4077-A2ED-FEB7EE963BF8} <C:\WINDOWS\system32\Byaa.dll, N/A>
[]
{5E5227F8-D86E-48DA-AFC8-94278379E6B9} <C:\WINDOWS\system32\Tgjw.dll, N/A>
[]
{681D800C-244B-4909-B1B2-F76CA223DBCB} <C:\WINDOWS\system32\Ayvhi.dll, N/A>
[]
{768D0A86-7EF7-458B-9BC6-9B33D56CDC1A} <C:\WINDOWS\system32\Itoc.dll, N/A>
[]
{A704BC54-C456-47C3-9107-D29CCB655B83} <C:\WINDOWS\system32\Pfou.dll, N/A>
[信息帮助]
{A753ED20-5836-4642-A71C-08AE83F21492} <C:\WINDOWS\webhelp1.dll, N/A>
[]
{B98FE735-23CE-45BE-B750-E13258823516} <C:\WINDOWS\system32\Gqqxjt.dll, N/A>
[]
{D5E8C5A5-695E-4176-A422-3D49F4B6F11F} <C:\WINDOWS\system32\Msvsy.dll, N/A>
[]
{EFF4838A-6E75-4014-B4D9-0F2EF73C98C3} <C:\WINDOWS\system32\Yhsri.dll, N/A>
[]
{F4396596-DF19-49C2-A4AB-C61AB7B294BE} <C:\WINDOWS\system32\Tcjai.dll, N/A>
[]
{F8E7F6EE-2FC8-4401-9880-9BF8F9F19134} <C:\WINDOWS\system32\Qxbh.dll, N/A>
[]
{0717E5D4-3DD5-4A6C-9B25-9F0BC0EB6023} <C:\WINDOWS\system32\Ounry.dll, N/A>
[]
{0A20D2A2-06E6-4C36-B7C3-1FE3CBCF4935} <C:\WINDOWS\system32\Toyu.dll, N/A>
[]
{109EAE3B-BF61-47C6-A229-43193206A671} <C:\WINDOWS\system32\Dwlzcq.dll, N/A>
[]
{1D5700DB-A640-41A3-BED5-A5C3EB203129} <C:\WINDOWS\system32\Zuziw.dll, N/A>
[]
{23D025A7-1685-4869-921F-67659D0D05A4} <C:\WINDOWS\system32\Lpkw.dll, N/A>
[]
{32A05615-2627-4A39-8507-1073E3E3A1B2} <C:\WINDOWS\system32\Baxw.dll, N/A>
[]
{371ED9B6-0791-49B1-A81E-A6B1688395C7} <C:\WINDOWS\system32\Liwl.dll, N/A>
[]
{40FEC5FD-DB78-4330-BA9B-92E479D1B856} <C:\WINDOWS\system32\Tief.dll, N/A>
[]
{4828521B-BCD5-497C-B808-E235E552DF4C} <C:\WINDOWS\system32\Rjtt.dll, N/A>
[]
{4FD78CDB-43C2-4B78-A0E7-75793731F1F9} <C:\WINDOWS\system32\Lmfg.dll, N/A>
[]
{580F23F0-5328-4077-A2ED-FEB7EE963BF8} <C:\WINDOWS\system32\Byaa.dll, N/A>
[]
{5E5227F8-D86E-48DA-AFC8-94278379E6B9} <C:\WINDOWS\system32\Tgjw.dll, N/A>
[]
{681D800C-244B-4909-B1B2-F76CA223DBCB} <C:\WINDOWS\system32\Ayvhi.dll, N/A>
[]
{768D0A86-7EF7-458B-9BC6-9B33D56CDC1A} <C:\WINDOWS\system32\Itoc.dll, N/A>
[]
{A704BC54-C456-47C3-9107-D29CCB655B83} <C:\WINDOWS\system32\Pfou.dll, N/A>
[信息帮助]
{A753ED20-5836-4642-A71C-08AE83F21492} <C:\WINDOWS\webhelp1.dll, N/A>
[]
{D5E8C5A5-695E-4176-A422-3D49F4B6F11F} <C:\WINDOWS\system32\Msvsy.dll, N/A>
[]
{EFF4838A-6E75-4014-B4D9-0F2EF73C98C3} <C:\WINDOWS\system32\Yhsri.dll, N/A>
[]
{F4396596-DF19-49C2-A4AB-C61AB7B294BE} <C:\WINDOWS\system32\Tcjai.dll, N/A>
[]
{F8E7F6EE-2FC8-4401-9880-9BF8F9F19134} <C:\WINDOWS\system32\Qxbh.dll, N/A>

然后到安全模式下删除所有以上项目对应的文件
（如
[]
{F8E7F6EE-2FC8-4401-9880-9BF8F9F19134} <C:\WINDOWS\system32\Qxbh.dll, N/A>
这个项目对应的文件就是后面的C:\WINDOWS\system32\Qxbh.dll
因为实在太多，费事再一个个列出来了）
...........................

有啊

初生襁褓狮

帖子:57
注册: 2006-06-16
来自:

发表于： 2006-06-16 23:51 | 只看楼主 短消息资料

字号：小中大 43楼

引用:

【轩辕小聪的贴子】结束进程C:\WINDOWS\System32\VIPTray.exe
[GrayPigeonServer / GrayPigeonServer]
<C:\WINDOWS\r_Server.exe><N/A>
[VIPTray / VIPTray]
<C:\WINDOWS\System32\VIPTray.exe><N/A>
这两个还没删？
在SREng的“启动项目”-“服务”-“Win32服务应用程序”中选“隐藏微软服务”，然后分别选中这两项，点“删除服务”，在弹出的对话框中点“否”。

然后重启后再删除这两个文件。

...........................

又要我重新启动啊`````这次启动在哪删？

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-16 23:51 \| 短消息资料字号：小中大 44楼晕，的确有…… 那也不可能其他的全没了……
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

中了病毒郁闷初生襁褓狮帖子:57 注册: 2006-06-16 来自:	发表于： 2006-06-16 23:52 \| 只看楼主短消息资料字号：小中大 45楼其他的有啊
中了病毒郁闷初生襁褓狮帖子:57 注册: 2006-06-16 来自:

中了病毒郁闷初生襁褓狮帖子:57 注册: 2006-06-16 来自:	发表于： 2006-06-16 23:53 \| 只看楼主短消息资料字号：小中大 46楼有2个红的一个蓝的还有7个正常的，也就是黑的
中了病毒郁闷初生襁褓狮帖子:57 注册: 2006-06-16 来自:

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-06-16 23:54 \| 短消息资料字号：小中大 47楼进入控制面版的添加删除程序中卸载，IE-BAR，搜搜地址栏搜索(QQ搜索小助手) 运行System Repair Engineer，点“启动项目，服务，点“Win32服务应用程序”勾选“隐藏微软服务”选中病毒服务GrayPigeonServer，VIPTray选择“删除服务”点“设置”选择“否”最后重启。（每一个逗号隔开的就是一个病毒的服务，请逐一删除）关闭所有浏览窗口以及一些不必要的程序运行System Repair Engineer，使用“系统修复，浏览器加载项”来删除以下选项 BrowserHelper Class] {2D99E8F4-56B7-457B-9A92-61B5D247D263} <C:\WINDOWS\system32\WinDefendor.dll, 双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名删除 C:\Program Files\TENCENT\Adplus C:\Program Files\IE-BAR C:\WINDOWS\r_Server.exe C:\WINDOWS\System32\VIPTray.exe C:\WINDOWS\system32\WinDefendor.dll 另，你的日志不全吧？
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-16 23:54 \| 短消息资料字号：小中大 48楼把“启动项目”-“注册表”的窗口截个图上来。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-06-16 23:55 \| 短消息资料字号：小中大 49楼修复后，请重启。烦再扫份报告粘上来。
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

中了病毒郁闷初生襁褓狮帖子:57 注册: 2006-06-16 来自:	发表于： 2006-06-16 23:55 \| 只看楼主短消息资料字号：小中大 50楼你还没告诉偶，这次重起从那删除呢？是在SREng里，还是在我的电脑里
中了病毒郁闷初生襁褓狮帖子:57 注册: 2006-06-16 来自:

<<上一主题|下一主题>>

1 2 3 456 7 8

5 / 8 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 小聪看看我的日志，中了Rootkit.Vanti.gen

小聪看看我的日志，中了Rootkit.Vanti.gen

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛小聪看看我的日志，中了Rootkit.Vanti.gen