瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 急问我的SRENG扫描日志里哪些是要杀的病毒?

12   1  /  2  页   跳转

急问我的SRENG扫描日志里哪些是要杀的病毒?

急问我的SRENG扫描日志里哪些是要杀的病毒?

我在瑞星社区里面查了下,好像中的病毒是机器狗。。。我上msn的space主页会被拒绝
,说网页安全证书过期。我的电脑日期也被改了。病毒会自动关闭我的杀毒软件和防火
墙。用瑞星查杀很多次都还是有病毒。附件是日志,麻烦大家帮我看一下有哪些要删的吧~ 谢谢~

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件附件:

下载次数:136
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-23 15:43:24
描述:

最后编辑2008-01-23 18:07:50
分享到:
gototop
 

【回复“oleyhuang”的帖子】

1、用XDELBOX删除下列注册表项指向的程序以及E盘根目录下的Autorun.inf和AutoRun.exe


启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SSLDyn><C:\WINDOWS\SSLDyn.exE>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <SHAProc><C:\WINDOWS\SHAProc.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys>  []
    <{6598FF45-DA60-F48A-BC43-10AC47853D56}><C:\WINDOWS\Fonts\rarjfpi.dll>  []
    <{F859245F-345D-BC13-AC4F-145D47DA34FF}><C:\WINDOWS\Fonts\avzxomn.dll>  []
    <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll>  []
    <{3D098345-9012-8750-8910-9128098134D3}><C:\WINDOWS\Fonts\jsqxcyc.dll>  []
驱动程序
[mseqsy / mseqsy][Running/Auto Start]
  <system32\DRIVERS\msacpe.sys><N/A>
[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>
浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
2、重启后,用SRENG删除上述注册表内容。
3、用杀软全盘杀毒。
gototop
 

**注意:操作期间切勿双击分区盘符,应使用资源管理器(或WinRAR)或者右键打开以浏览各分区**


1,用SRE修复以下:
    启动项目 —— 服务 —— 驱动程序之如下删除:
[Apaidi / Apaidi]
[bootdrv / bootdrv]
[FTCkillfile / FTCkillfile]
[FTCProtect / FTCProtect]
[FTCProTime / FTCProTime]
[mseqsy / mseqsy]
[msskye / msskye]


2,用XDelBox软件以抑制再生方式删除以下文件:
删除文件
C:\DOCUME~1\oley\LOCALS~1\Temp\Rar$EX00.703\PrettyClock.exe
c:\windows\fonts\jsqxcyc.dll
c:\windows\fonts\rsjzbpm.dll
c:\windows\fonts\avzxomn.dll
c:\windows\fonts\rarjfpi.dll
c:\program files\internet explorer\plugins\wn_sys8x.sys
C:\WINDOWS\system32\lyloadqr.exe
C:\WINDOWS\system32\lyloadhr.exe
C:\WINDOWS\system32\lyloadmr.exe
C:\WINDOWS\system32\lyloadar.exe
C:\WINDOWS\system32\lyloador.exe
C:\WINDOWS\system32\lyleador.exe
C:\WINDOWS\system32\lyloadbr.exe
C:\WINDOWS\system32\lyloader.exe
c:\windows\shaproc.exe
c:\windows\ptsshell.exe
c:\windows\dbghlp32.exe
c:\windows\upxdnd.exe
c:\windows\ssldyn.exe
C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\System32\Drivers\bootdrv.sys
C:\WINDOWS\System32\Drivers\FTCkillfile.sys
C:\WINDOWS\System32\Drivers\FTCProTime.sys
C:\WINDOWS\System32\Drivers\FTCProtect.sys
C:\WINDOWS\system32\DRIVERS\msacpe.sys
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\SSLDyn.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\853957MM.DLL
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\gnaixnauhuoyizqq.dll 
C:\WINDOWS\system32\ijougiemnaw.dll     
C:\WINDOWS\system32\niluw.dll 
C:\Program Files\Sinfor\SSL\ClientComponent\ProxyIE.dll 
e:\autorun.inf
e:\AutoRun.exe

     
3,重起删除文件后,用SRE修复以下:

    启动项目 -- 注册表之如下项删除:
[{3D098345-9012-8750-8910-9128098134D3}]   
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}]   
[{F859245F-345D-BC13-AC4F-145D47DA34FF}]   
[{6598FF45-DA60-F48A-BC43-10AC47853D56}]   
[{9963387B-212E-4643-B207-82DAEA0E713D}]   
[MSDQG32]   
[MSDHG32]   
[MSDMG32]   
[MSDSG32]   
[MSDOG32]   
[MSDCG32]   
[MSDWG32]   
[MSDEG32]   
[SHAProc]   
[PTSShell]   
[DbgHlp32]   
[upxdnd]   
[SSLDyn]   
<Pretty Clock>

    系统修复 —— 浏览器加载项之如下删除:
[]
  {9963387B-212E-4643-B207-82DAEA0E713D}

    系统修复 —— Winsock 供应者之如下删除:
RSVP UDP Service Provider
    C:\Program Files\Sinfor\SSL\ClientComponent\ProxyIE.dll(, ProxyIE Module)
RSVP TCP Service Provider
    C:\Program Files\Sinfor\SSL\ClientComponent\ProxyIE.dll(, ProxyIE Module)


4,使用资源管理器查看各分区上是否还有autorun.inf和Autorun.exe文件,有则用XDelBox软件或者冰刃删除


5,更新杀毒软件至最新,进行全盘杀毒
gototop
 

系统时间已不对了:
2000-01-23,13:33:41

注意一定要断网处理,不然可能不能成功。
——————————————————————————————————————————
你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,(一定要解压出来运行,不要懒)运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox,勾选“抑制文件再生”,直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\SSLDyn.exE
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\system32\LYLoader.exe
C:\WINDOWS\system32\LYLoadbr.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\system32\LYLoador.exe
C:\WINDOWS\system32\LYLoadar.exe
C:\WINDOWS\system32\LYLoadmr.exe
C:\WINDOWS\system32\LYLoadhr.exe
C:\WINDOWS\system32\LYLoadqr.exe
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\Fonts\rarjfpi.dll
C:\WINDOWS\Fonts\avzxomn.dll
C:\WINDOWS\Fonts\rsjzbpm.dll
C:\WINDOWS\Fonts\jsqxcyc.dll
C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\System32\Drivers\bootdrv.sys
C:\WINDOWS\system32\DRIVERS\msacpe.sys
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\SSLDyn.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\853957MM.DLL
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\gnaixnauhuoyizqq.dll
C:\WINDOWS\system32\ijougiemnaw.dll
C:\WINDOWS\system32\niluw.dll
E:\Autorun.inf
E:\AutoRun.exe

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
————————————————————————————
删除下面文件夹里的所有东西:
C:\DOCUME~1\oley\LOCALS~1\Temp
——————————————————————————————————————
从下面项,可看出系统文件EXPLORER.EXE已被病毒替换,可以去C:\WINDOWS\system32\dllcache文件夹里找EXPLORER.EXE文件,复制到C:\WINDOWS\文件夹里替换。替换前先在任务管理器里结束EXPLORER.EXE进程。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><EXPLORER.EXE>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <SSLDyn><C:\WINDOWS\SSLDyn.exE>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <SHAProc><C:\WINDOWS\SHAProc.exe>  []   
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys>  []
    <{6598FF45-DA60-F48A-BC43-10AC47853D56}><C:\WINDOWS\Fonts\rarjfpi.dll>  []
    <{F859245F-345D-BC13-AC4F-145D47DA34FF}><C:\WINDOWS\Fonts\avzxomn.dll>  []
    <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll>  []
    <{3D098345-9012-8750-8910-9128098134D3}><C:\WINDOWS\Fonts\jsqxcyc.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[bootdrv / bootdrv][Stopped/Boot Start]
  <\SystemRoot\System32\Drivers\bootdrv.sys><N/A>
[mseqsy / mseqsy][Running/Auto Start]
  <system32\DRIVERS\msacpe.sys><N/A>
[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。
最好再扫个新日志来看看。
gototop
 

弱弱的问一句  那个EXPLORER.EXE为什么要替换
从哪里看出有问题
gototop
 

从下面项,可看出系统文件EXPLORER.EXE已被病毒替换,
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><EXPLORER.EXE> []
因为桌面EXPLORER.EXE后面没看到微软的东西。

同时在日志的进程里看到:
[PID: 168 / oley][C:\WINDOWS\system32\dllcache\explorer.exe]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]

这个是病毒C:\WINDOWS\explorer.exe为了不影响用户使用电脑,所以去调用了C:\WINDOWS\system32\dllcache\explorer.exe桌面程序。
gototop
 

从下面项,可看出系统文件EXPLORER.EXE已被病毒替换,可以去C:\WINDOWS\system32\dllcache文件夹里找EXPLORER.EXE文件,复制到C:\WINDOWS\system32文件夹里替换。替换前先在任务管理器里结束EXPLORER.EXE进程。


应该是替换c:\windows\下
gototop
 

学习了 呵呵 谢谢
gototop
 

引用:
【豪斯登堡新郎的贴子】从下面项,可看出系统文件EXPLORER.EXE已被病毒替换,可以去C:\WINDOWS\system32\dllcache文件夹里找EXPLORER.EXE文件,复制到C:\WINDOWS\system32文件夹里替换。替换前先在任务管理器里结束EXPLORER.EXE进程。


应该是替换c:\windows\下
………………

8好意思啦。

偶从另一贴复制过来时,那贴是userinit.exe文件被病毒恶改。忙中弄错了,实在汗了。
gototop
 

你出一点错..人家要在电脑上找半天.....
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT