遇到问题,大家帮帮我啊! - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛遇到问题,大家帮帮我啊!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

[求助] 遇到问题,大家帮帮我啊!

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-06-25 17:55 \| 短消息资料字号：小中大 11楼回复：遇到问题,大家帮帮我啊! 等会我看看去怠慢楼主了 ———————————————————————————————————————— 这三文件是什么？？？ C:\WINDOWS\WASAY\hook.dll C:\WINDOWS\WASAY\HOTKEY.EXE C:\WINDOWS\WASAY\MONITOR.EXE 我添加在下面的删除操作中了。 ———————————————————————————————————————— 下面删除操作中的文件和项目，你得自己认真判断了，我都不认识：这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。 http://dl.filseclab.com/down/powerrmv.zip 或者这个修改过的下载： http://bbs.ikaka.com/attachment.aspx?attachmentid=404501 删除： C:\WINDOWS\WASAY\hook.dll C:\WINDOWS\WASAY\HOTKEY.EXE C:\WINDOWS\WASAY\MONITOR.EXE C:\b8925f9cb1142729.dat C:\c16dfee0024fb8d7.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2048.dll C:\e279b5dca586be6a.dat C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys c:\windows\avtapit.dll C:\WINDOWS\Downlo~1\fa4b.dll C:\WINDOWS\icpb.dll C:\WINDOWS\RavNT.exe C:\WINDOWS\system32\60f61.exe C:\WINDOWS\system32\6to4.dll C:\WINDOWS\system32\akjsckaq.dll C:\WINDOWS\system32\b601.dll c:\windows\system32\config\sam4.log C:\WINDOWS\system32\dispexcb.dll C:\WINDOWS\system32\DRIVERS\cfosspeed.sys C:\WINDOWS\system32\drivers\fifgggdd.sys C:\WINDOWS\System32\DRIVERS\fn561ti.sys C:\WINDOWS\system32\drivers\opw0e04fke.sys C:\WINDOWS\system32\irmon64.dll C:\WINDOWS\system32\lassaplo.dll C:\WINDOWS\System32\new.sys C:\WINDOWS\system32\systemdrv.dll C:\WINDOWS\system32\XDva157.sys 不论删除结果如何继续下面操作。 ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目选择“编辑”，这必须关闭杀毒软件的监控，否则改不了可能。就是将 <AppInit_DLLs> 的“值”项编辑为： <AppInit_DLLs><ieprot.dll> [N/A] ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：得自己看看到底是否是自己有用的东西。启动项目注册表 <HotKey><C:\WINDOWS\WASAY\HOTKEY.EXE> [] <ItMonitor><C:\WINDOWS\WASAY\MONITOR.EXE> [] <fa4b><rundll32 "C:\WINDOWS\Downlo~1\fa4b.dll",Run> [Microsoft Corporation] <{3A908760-8000-4000-A000-9000322145A3}><C:\WINDOWS\system32\akjsckaq.dll> [] <dispexcb><C:\WINDOWS\system32\dispexcb.dll> [N/A] ————————————————————————————————————— 在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，或将启动类型改为“Disabled” ================================== 服务 [6to4 / 6to4][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\6to4.dll><N/A> [IPRIP / IPRIP][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\icpb.dll><N/A> [Irmon / Irmon][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\irmon64.dll><Microsoft Corporation> [Protected Storage Manager / ProtectedStorager3][Stopped/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\system32\config\sam4.log><N/A> [TCPBI0S / TCPBI0S][Stopped/Auto Start] <C:\WINDOWS\system32\60f61.exe><N/A> [WbWin / WbWin][Others/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\avtapit.dll><Microsoft Corporation> ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled” ================================== 驱动程序 [apcdli / apcdli][Running/Auto Start] <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A> [b8925f9cb1142729 / b8925f9cb1142729][Stopped/Manual Start] <\??\C:\b8925f9cb1142729.dat><N/A> [c16dfee0024fb8d7 / c16dfee0024fb8d7][Stopped/Manual Start] <\??\C:\c16dfee0024fb8d7.dat><N/A> [cFosSpeed Miniport / cFosSpeed][Stopped/Manual Start] <system32\DRIVERS\cfosspeed.sys><N/A> [e279b5dca586be6a / e279b5dca586be6a][Stopped/Manual Start] <\??\C:\e279b5dca586be6a.dat><N/A> [fifgggdd / fifgggdd][Stopped/Boot Start] <\SystemRoot\system32\drivers\fifgggdd.sys><N/A> [fn561t / fn561ti][Running/Boot Start] <\SystemRoot\System32\DRIVERS\fn561ti.sys><> [New0 / New0][Running/Auto Start] <\??\C:\WINDOWS\System32\new.sys><N/A> [ntptdb / ntptdb][Running/Auto Start] <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys><N/A> [opw0e04fke / opw0e04fke][Stopped/Boot Start] <\SystemRoot\system32\drivers\opw0e04fke.sys><N/A> [XDva157 / XDva157][Stopped/Manual Start] <\??\C:\WINDOWS\system32\XDva157.sys><N/A> ————————————————————————————— 在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除 ================================== 浏览器加载项 [] {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A> [Surfer Class] {986488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2048.dll, > [Invoke Class] {D44A7C31-7D76-4cce-AB9E-7C0DEE5B8D04} <C:\WINDOWS\system32\b601.dll, N/A> [] {2B69874A-C58C-458D-69F0-698F874E41B2} <C:\WINDOWS\system32\lassaplo.dll, N/A> [] {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A> [Surfer Class] {986488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2048.dll, > [Invoke Class] {D44A7C31-7D76-4CCE-AB9E-7C0DEE5B8D04} <C:\WINDOWS\system32\b601.dll, N/A> ————————————————————————————————————— 用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理” 下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491 用W i n d o w s 清理助手，清理你那系统。 W i n d o w s 清理助手下载：http://www.arswp.com/ ———————————————————————————————————— 再重启电脑，反复检查，操作的结果，杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。其他任何个人软件的异常，都可能需要卸载重装了。记得打打系统漏洞补丁这补丁很重要 http://bbs.ikaka.com/showtopic-8509685.aspx 部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx 天月来了最后编辑于 2008-06-25 18:16:32 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

阿诗初生襁褓狮帖子:10 注册: 2008-06-24 来自:	发表于： 2008-06-26 01:16 \| 只看楼主短消息资料字号：小中大 12楼回复: 遇到问题,大家帮帮我啊! 谢谢了啊~虽然等的有点长但是还是感谢~
阿诗初生襁褓狮帖子:10 注册: 2008-06-24 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-06-26 08:05 \| 短消息资料字号：小中大 13楼回复：遇到问题,大家帮帮我啊! 可你到底操作的怎么样了呀？？这些都是新东西。我也不知道啥名堂你得告诉我到底哪个工具能操作，哪个不能操作哦否则我永远不知道怎么做百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

阿诗初生襁褓狮帖子:10 注册: 2008-06-24 来自:	发表于： 2008-07-06 13:26 \| 只看楼主短消息资料字号：小中大 14楼回复: 遇到问题,大家帮帮我啊! 额```都能用,而且操作简便....恩```谢谢````
阿诗初生襁褓狮帖子:10 注册: 2008-06-24 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-07-06 14:49 \| 短消息资料字号：小中大 15楼回复：遇到问题,大家帮帮我啊! TIP：Trojan-PSW.Win32.OnLineGames.aglq FILES：剑侠世界盗号木马：sdjsakaq.sys/akjsckaq.dll/mkjsakaq.exe %SystemBoot%\system32\sdjsakaq.sys用来存储盗来帐号信息 %SystemBoot%\system32\akjsckaq.dll用来盗取游戏帐号把自身拷贝到%SystemBoot%\system32\mkjsakaq.exe 创建注册表项目，实现开机加载动态库注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\{3A908760-8000-4000-A000-9000322145A3} 值：akjsckaq.dll 注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A908760-8000-4000-A000-9000322145A3} 值：akjsckaq.dll SetWindowsHookExA实现DLL文件全局注入 akjsckaq.dll（DLL文件）行为：当自身注入到Explorer.exe进程中：循环查找进程 game.exe(剑侠世界),如果进程存在，使用函数SetWindowsHookExA把自身注入到game.exe进程中当自身注入到game.exe进程中：读取游戏内存，盗取游戏帐号密码把得到的信息存放在：sdjsakaq.sys中 TIP：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] <dispexcb><C:\WINDOWS\system32\dispexcb.dll> 升级瑞星杀毒软件到最新即可进行查杀 TIP：Trojan.win32.agent.imc FILES：apcdli.sys,ntptdb.sys c:windows\system32\drivers\aliide.sys 同目录以及OFFICE 和临时文件目录下 aeyszo50.sys aiergy71.sys aktxjj05.sys ammtrc01.sys aondjx82.sys bbmtcf06.sys axdckf24.sys asnhta74.sys ......型如此类驱动一概删除，手杀比较麻烦，XDelBox挨个来吧，使用最新瑞星吧，删完后最好用SRENG修复一下服务 C:WINDOWS\Temp C:\Documents and Settings\用户名\Local Settings\Temp C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files 这三个文件夹下所有东西都删除 TIP:Trojan.DL.Agent.dlo FILES：C:\WINDOWS\System32\new.sys ROOTKIT类可疑驱动，怀疑为新病毒或变种： [fifgggdd / fifgggdd][Stopped/Boot Start] <\SystemRoot\system32\drivers\fifgggdd.sys><N/A> [fn561t / fn561ti][Running/Boot Start] <\SystemRoot\System32\DRIVERS\fn561ti.sys><N/A> LZ貌似你原来杀毒没杀干净，或者装了什么HACKTOOLS玩？用瑞星，记得更新天云一剑最后编辑于 2008-07-11 20:21:12
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT