各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？

dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:	发表于： 2008-05-07 05:16 \| 只看楼主短消息资料字号：小中大 1楼各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？前天晚上不小心中招的，中招后立刻自动关闭了瑞星监控中心和360安全卫士，用360安全卫士修复工具后提示说有机器狗木马，杀了一个晚上，可是一直杀不干净，时不时的就会有soc2.exe、soc3.exe、soc4.exe、soc11.exe……等进程出现，又是自动关闭瑞星和360安全卫士，有时还会出现提示说是“fmsjhif.exe”等程序试图修改注册表启动项…… 昨天晚上上网查了半天，初步判定是因为cdfview.dll这个系统文件被替换了，于是先用360机器狗专杀工具进行了扫描，清除后重启系统，这时再次运行机器狗专杀工具，只剩下cdfview.dll这个文件还有问题；接着从“c:\windows\system32\dllcache\”文件夹下拷贝了同名文件，利用“Windows清理助手arswp2”替换了cdfview.dll这个文件，然后运行了“清理系统临时文件和IE临时文件夹的软件ATF-Cleaner”，再运行机器狗专杀工具就提示没木马文件了，接着又用升级后的360和卡卡分别进行了清理恶意流氓软件和查杀流行木马都没发现什么，只是在用360查木马的时候出现个提示框说“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Image File Execution Options”试图篡改注册表启动项，我选“阻止该动作”后就没再出现什么提示框了。最后用升级到最新版的瑞星杀毒软件断网后全盘杀毒，也没发现病毒，不知这下是不是算杀干净了，附件就是现在的SREng日志文件，请各位版主和高手帮忙看看是不是杀干净了，或者还有什么遗漏的问题，万分感谢啊！小弟是第一次亲自动手杀毒，基本没什么经验，肯定有很多不足之处，请各位高手多多指点了，再次拜谢～用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ) 附件: 文件名:新建文本文档.txt 下载次数:125 文件类型:text/plain 文件大小: 上传时间:2008-5-7 5:16:16 描述:txt dragonkym 最后编辑于 2008-05-07 05:26:17
dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:	分享到：

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-07 06:18 \| 短消息资料字号：小中大 2楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？ [PnkBstrA / PnkBstrA][Stopped/Auto Start] <C:\WINDOWS\system32\PnkBstrA.exe><N/A> 这个比较可疑看了半天都觉得有问题，查了下说是EA或者其他游戏的反作弊程序，不清楚怎么回事，建议上报
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-07 06:20 \| 短消息资料字号：小中大 3楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？ http://d5.97sky.cn/TonPE_V1.4.exe 请务必下载雨林木风PE安装包进行安装以防止误操作删除系统文件无法进入系统时的修复,并在安装完成后重起一次确认可以正常进入PE系统后继续以下操作。以下操作一定要拔掉网线，在安全模式下进行，运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 Xdelbox工具下载：http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的下载后解压所有文件到一个文件夹在添加旁边的框中分别输入 C:\WINDOWS\system32\Drivers\00e131f6.sys C:\WINDOWS\system32\drivers\msosmsp2p32.sys C:\WINDOWS\TBManage.dll（这个可以先上报，不过看来有点问题，可以先别删除）输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中然后一次性选中（按住ctrl)下面大框中所有的文件右键单击点击重启立即删除重启计算机以后会有两个系统进入的选择的倒计时界面第一个是你原来的windows系统第二个是这个软件给你设定的dos系统系统会自动选择进入第二个系统类似dos的界面滚动完毕以后病毒就被删除了之后他会自动重启进入正常模式
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-07 06:21 \| 短消息资料字号：小中大 4楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？清楚后用sreng删除下列驱动 [00e131f6 / 00e131f6][Stopped/Manual Start] <\??\C:\WINDOWS\system32\Drivers\00e131f6.sys><N/A> [msfpfis64 / msfpfis64][Running/System Start] <2 - 系统找不到指定的文件。 ><N/A> [msp2p32 / msp2p32][Running/Auto Start] <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys><N/A> [319968 / 319968][Running/Manual Start] <2 - 系统找不到指定的文件。 ><N/A> 呵呵，忘记让清理了用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理” 下载：http://www.qispace.com.cn/attachment.php?fid=34 下载arswp(Windows清理助手)清理下.. http://www.arswp.com/download/arswp/arswp.rar 补充了到安全模式下断网再杀杀毒 sako 最后编辑于 2008-05-07 06:22:16
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:	发表于： 2008-05-07 07:09 \| 只看楼主短消息资料字号：小中大 5楼回复: 各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？引用: 原帖由 sako 于 2008-5-7 6:18:00 发表 [PnkBstrA / PnkBstrA][Stopped/Auto Start] <C:\WINDOWS\system32\PnkBstrA.exe><N/A> 这个比较可疑看了半天都觉得有问题，查了下说是EA或者其他游戏的反作弊程序，不清楚怎么回事，建议上报这个是游戏使命召唤4的反作弊程序，还有上报是指什么意思啊？用“清理临时文件工具ATF-Cleaner-cn”和arswp(Windows清理助手)清理后再用瑞星全盘杀毒，没问题的话就说明是杀干净了吧？ dragonkym 最后编辑于 2008-05-07 07:11:00
dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-07 07:14 \| 短消息资料字号：小中大 6楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？那就ok 不用上报了按照我写的清理步骤清理后，再杀毒，如果没问题，就没事情了不放心清理后再帖个日志
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:	发表于： 2008-05-07 08:01 \| 只看楼主短消息资料字号：小中大 7楼回复: 各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？ sako大大，我用Xdelbox工具添加下面两个文件的时候都说文件不存在…… C:\WINDOWS\system32\Drivers\00e131f6.sys C:\WINDOWS\system32\drivers\msosmsp2p32.sys 不过用SREng扫描驱动的时候， [00e131f6 / 00e131f6][Stopped/Manual Start] <\??\C:\WINDOWS\system32\Drivers\00e131f6.sys><N/A> [msfpfis64 / msfpfis64][Running/System Start] <2 - 系统找不到指定的文件。 ><N/A> [msp2p32 / msp2p32][Running/Auto Start] <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys><N/A> [319968 / 319968][Running/Manual Start] <2 - 系统找不到指定的文件。这四个都有，我就删除了。然后我就用arswp(Windows清理助手)清理了一次，说是“没有扫描到威胁”；接着用360的机器狗专杀工具和顽固木马专杀大全都运行了一次也没发现木马；接着又用360和卡卡分别进行了清理恶意流氓软件和查杀流行木马都没发现什么，只是现在每次运行360查杀木马的时候都会出现一个提示框，说是“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Image File Execution Options试图修改注册表启动项”，我都选了阻止该动作，不知这要不要紧，现在附上最新的SREng日志文件，麻烦再帮忙看看是不是没问题了，再次感谢了～附件: 文件名:新建文本文档.txt 下载次数:111 文件类型:text/plain 文件大小: 上传时间:2008-5-7 8:00:55 描述:txt
dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-07 08:06 \| 短消息资料字号：小中大 8楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？？？ IFEO劫持？？不清楚是不是添加劫持，360那DD用过一次，没说添加什么DD阿俄，不怎么清楚，先不要同意让高手看看，偶是对这360没有太多了解日志没事情了
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-05-07 08:09 \| 短消息资料字号：小中大 9楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？日志看不出什么了百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:	发表于： 2008-05-07 22:06 \| 只看楼主短消息资料字号：小中大 10楼回复：各位版主和高手来帮忙看看，这病毒(木马)算杀干净了吗？谢谢sako大大和天月来了版主的热心帮忙，小弟这下算是放心了～另外再请教一下，SREng的日志文件要怎么看呢？有没有什么指导教程啊？
dragonkym 初生襁褓狮帖子:26 注册: 2006-12-05 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT