瑞星又被黑了，新日志在15楼 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛瑞星又被黑了，新日志在15楼

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

瑞星又被黑了，新日志在15楼

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-05-31 00:38 \| 短消息资料字号：小中大 11楼回复: 瑞星又被黑了下载附件解压后将注册表导入以修复IFEO 然后严格按照以下步骤进行注意文件替换很重要要不重起后又是一堆木马参考这里：http://bbs.ikaka.com/showtopic-8502100.aspx 下载并正确安装PE，并下载附件中的“费尔强力木马清除助手”，重起进入PE做两件事： 1.用“费尔……”删除以下文件： c:\winnt\system32\msoscqit00.dll c:\winnt\system32\msosdohs01.dll c:\winnt\system32\msosfmsq00.dll c:\winnt\system32\msosjtio00.dll c:\winnt\system32\msosping00.dll c:\winnt\system32\msosptfs00.dll c:\winnt\system32\noempd.dll c:\winnt\system32\qzsytr.dll c:\winnt\system32\coseai.dll c:\winnt\system32\cotjmq.dll c:\winnt\system32\cswwpu.dll c:\winnt\system32\czvevi.dll c:\winnt\system32\evygqa.dll c:\winnt\system32\fcxwwn.dll c:\winnt\system32\hidylf.dll c:\winnt\system32\hpayro.dll c:\winnt\system32\khrepx.dll c:\winnt\system32\koilnk.dll c:\winnt\system32\mghbfg.dll c:\winnt\system32\stszev.dll c:\winnt\system32\ukjwcf.dll c:\winnt\system32\wuzgjt.dll c:\winnt\cotjmq.exe c:\winnt\cswwpu.exe c:\winnt\evygqa.exe c:\winnt\hidylf.exe c:\winnt\hpayro.exe c:\winnt\khrepx.exe c:\winnt\mghbfg.exe c:\winnt\pfngjq.exe c:\winnt\ukjwcf.exe c:\winnt\xqobyp.exe c:\winnt\wuzgjt.exe c:\winnt\czvevi.exe c:\winnt\coseai.exe c:\winnt\fcxwwn.exe c:\winnt\koilnk.exe c:\winnt\system32\sysdajhv.dll c:\winnt\system32\noempd.dll c:\winnt\system32\nicozftp00.dll c:\winnt\system32\msosdohs01.dll c:\winnt\system32\msosfmsq00.dll c:\winnt\system32\msosmhfp00.dll c:\winnt\system32\msoscqit00.dll c:\winnt\system32\msosmnsf00.dll c:\winnt\system32\msosjtio00.dll c:\winnt\system32\msosptfs00.dll c:\winnt\system32\nicozftp01.dll c:\winnt\system32\msosdohs02.dll c:\winnt\system32\msosfmsq01.dll c:\winnt\system32\msosmhfp01.dll c:\winnt\system32\msoscqit01.dll c:\winnt\system32\msosmnsf01.dll c:\winnt\system32\msosjtio01.dll c:\winnt\system32\msosptfs01.dll c:\winnt\system32\nicozftp02.dll c:\winnt\system32\msosdohs00.dll c:\winnt\system32\msosfmsq02.dll c:\winnt\system32\msosmhfp02.dll c:\winnt\system32\msoscqit02.dll c:\winnt\system32\msosmnsf02.dll c:\winnt\system32\msosjtio02.dll c:\winnt\system32\msosptfs02.dll c:\winnt\system32\qzsytr.dll c:\winnt\system32\msosping00.dll c:\winnt\system32\cswwpu.dll c:\program files\internet explorer\plugins\dossys16.sys c:\winnt\system32\b3f56129.exe c:\winnt\temp\tmp3.tmp c:\winnt\temp\tmp25.tmp c:\winnt\temp\tmp27.tmp c:\winnt\system32\drivers\msosmsp2p32.sys c:\winnt\system32\drivers\msosmsfpfis64.sys c:\winnt\temp\tmp1f.tmp c:\winnt\temp\tmp23.tmp c:\winnt\temp\tmp16.tmp c:\winnt\temp\tmp1b.tmp c:\winnt\temp\tmpe.tmp c:\documents and settings\all users.winnt\application data\microsoft\pctools\pctools.dll 2.删除完文件后，复制c:\winnt\system32\dllcache\文件夹中的services.exe lsass.exe mfc40u.dll cdfview.dll 粘贴到c:\winnt\system32\文件夹内，提示替换时选“是” 复制c:\winnt\system32\dllcache\文件夹中的beep.sys粘贴到c:\winnt\system32\drivers\文件夹内，提示替换选“是” 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [WINSvr64] [wipicdec] [yuiabct] [dndsioc] [dndsioc] [fmbiost] [bincdwsa] [huifitc] [ptshell] [ticisms] [hefcndy] [tciocp64] [dbhlp32] [fmsbbqi] [fmsjhif] [nchujscu] [mfchlp64] [isndntio] [dionpis] [anistio] [fmsiocps] 注意该项[AppInit_DLLs]修改：把<SysDaJHv.dll,noempd.dll,nicozftp00.dll,msosdohs01.dll,msosfmsq00.dll,msosmhfp00.dll,msoscqit00.dll,msosmnsf00.dll,msosjtio00.dll,msosptfs00.dll,qzsytr.dll,msosping00.dll,cswwpu.dll>修改为<>即清空 [{398C9B84-4EF7-47B5-9862-DE29543B3C42}] 启动项目－－服务－－ Win32服务应用程序之如下项删除： [7094D53F / 7094D53F] 启动项目－－服务－－驱动程序之如下项删除： [zftp / zftp] [ptfs / ptfs] [ping / ping] [msp2p32 / msp2p32] [msfpfis64 / msfpfis64] [mnsf / mnsf] [jtio / jtio] [fmsq / fmsq] [dohs / dohs] [cqit / cqit] 系统修复－－　浏览器加载项之如下项删除： [] <C:\Program Files\Internet Explorer\PLUGINS\DosSys16.Sys> [Info cache] <C:\Documents and Settings\All Users.WINNT\Application Data\Microsoft\PCTools\pctools.dll> [Info cache] <C:\Documents and Settings\All Users.WINNT\Application Data\Microsoft\PCTools\pctools.dll> 做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次清理系统临时文件和IE临时文件夹 http://www.atribune.org/public-beta/ATF-Cleaner.exe 用金山清理专家清理恶意软件 http://www.duba.net/zt/ksc/down.shtml 下载 windows清理助手清理一遍 http://www.arswp.com/download/arswp2/arswp2.zip 附件: 文件名:附件1.rar 下载次数:85 文件类型:application/octet-stream 文件大小: 上传时间:2008-5-31 0:38:00 描述:rar 不认识我没关系，因为我也不认识你。
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:	发表于： 2008-05-31 15:01 \| 只看楼主短消息资料字号：小中大 12楼回复：瑞星又被黑了我用费尔删除文件后（有部分文件提示不存在），c:\winnt\system32\dllcache\文件夹中的services.exe lsass.exe cdfview.dll beep.sys都没有，只粘贴了mfc40u.dll ，重启进不了xp，提示无法定位到mfc40u.dll 。c:\winnt\system32\下还是有那几个文件的
lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-05-31 15:04 \| 短消息资料字号：小中大 13楼回复：瑞星又被黑了那几个文件一定全部替换 lsass.exe也被感染了不替换是进不了系统的。。。请重新正确操作如果dllcache文件夹中没有那些文件可以用U盘等设备从其他相同系统中拷贝那些文件后在PE里进行替换一定每一步都正确做好不认识我没关系，因为我也不认识你。
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:	发表于： 2008-05-31 15:10 \| 只看楼主短消息资料字号：小中大 14楼回复：瑞星又被黑了我在这里下载的，http://bbs.ikaka.com/showtopic-8501837.aspx 回去重新开始每一步再替换可以吧？
lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:

lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:	发表于： 2008-06-01 16:00 \| 只看楼主短消息资料字号：小中大 15楼回复: 瑞星又被黑了又重新开始了一次，瑞星正常了。但，金山清理专家清理恶意软件时发现有5个程序，杀不了，我上不到图。这5个恶意软件是：Msos_Troj，PopWinTe，PopWinTe_B(Troj)，Brontok蠕虫，acpidisk驱动现在我换台电脑上传日志，那台暂不用了，麻烦版主看看，怎么办呢附件: 文件名:SREngLOG.log 下载次数:76 文件类型:application/octet-stream 文件大小: 上传时间:2008-6-1 16:00:19 描述:log
lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:

果冻·布丁叱咤花甲狮帖子:6928 注册: 2003-11-11 来自:U571部队长舰	发表于： 2008-06-01 16:08 \| 短消息资料字号：小中大 16楼回复：瑞星又被黑了哇好麻烦，不如重做系统算了，补丁估计都没打吧
果冻·布丁叱咤花甲狮帖子:6928 注册: 2003-11-11 来自:U571部队长舰

lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:	发表于： 2008-06-01 16:37 \| 只看楼主短消息资料字号：小中大 17楼回复：瑞星又被黑了，新日志在15楼希望再等斑斑来指导最后一次，要不就只有重装了。
lina0914 初生襁褓狮帖子:48 注册: 2006-04-28 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-06-01 16:50 \| 短消息资料字号：小中大 18楼回复：瑞星又被黑了，新日志在15楼这三个不常见，自己看文件判断去 ================================== 驱动程序 [rkl8w / rkl8wi][Stopped/Boot Start] <\SystemRoot\System32\DRIVERS\rkl8wi.sys><> [Windows Driver Foundation - User-mode Driver Framework Platform Driver / WudfPf][Stopped/Manual Start] <system32\DRIVERS\WudfPf.sys><Microsoft Corporation> [Windows Driver Foundation - User-mode Driver Framework Reflector / WudfRd][Stopped/Manual Start] <system32\DRIVERS\wudfrd.sys><Microsoft Corporation> 系统无异常，就行了百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT