瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 这病毒影响到我的生活了[附日志]

1   1  /  1  页   跳转

[求助] 这病毒影响到我的生活了[附日志]

这病毒影响到我的生活了[附日志]

总是有一大群名为 xxxbc.exe 的东西在纠缠着系统,

QQ号被盗了,

系统无法正常运行了,

刚重装了系统,

没想到又来了一大群,

天啊!

木乃伊归来了!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)

附件附件:

文件名:SREngLOG.log
下载次数:120
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-23 16:54:03
描述:log

分享到:
gototop
 

回复:这病毒影响到我的生活了[附日志]

删除启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <SystemCheck><%SystemRoot%\system32\syschk.exe>  [File is missing]
删除文件C:\windos\system32\syschk.exe
删除启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下注册表项目及对应文件
  <ravmons><; C:\WINDOWS\soni.exe>  [瑞星]
<HBmhly><"C:\WINDOWS\system32\HBmhly.exe" -r>  []

修改启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><caotxb.dll wcnonpe.dll theralte.dll hourpx2.dll cmopes.dll sctzxy.dll longasus.dll joliom.dll offecao.dll jsnoer.dll follwel.dll irotiyy.dll welycz.dll>  [N/A]
为<AppInit_DLLs><>并
删除文件
c:windos\system32\cmopes.dll
c:\windos\system32\caotxb.dll
c:\windos\system32\wcnonpe.dll
c:\windos\system32\theralte.dll
c:\windos\system32\hourpx2.dll
c:\windos\system32\sctzxy.dll
c:\windos\system32\longasus.dll
c:\windos\system32\joliom.dll
c:\windos\system32\offecao.dll
c:\windos\system32\jsnoer.dll
c:\windos\system32\follwel.dll
c:\windos\system32\irotiyy.dll
c:\windos\system32\welycz.dll
删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下注册表项目及对应DLL文件
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zefdst.dll>  []
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  []
    <{C362D1C3-313C-41C8-A0C7-45458CD8D9A9}><C:\WINDOWS\system32\mghefy.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []
    <{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}><C:\WINDOWS\system32\dndsaf.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  []
    <{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}><C:\WINDOWS\system32\zsdgff.dll>  []
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  []
    <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll>  []
    <{0086DD39-EB8E-4504-A085-AC8A433E34D0}><C:\WINDOWS\system32\ydggsx.dll>  []
    <{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\WINDOWS\system32\tdggrz.dll>  []
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll>  []
删除服务及箭头后文件

[Windows Presentation Foundation (WPF) / application][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k application-->C:\WINDOWS\system32\hHXDikeHmuqyruU.dll>
[IDCEvent / IDCEvent][Stopped/Auto Start]
  <C:\WINDOWS\system32\ba64a.exe><Microsoft Corporation>

删除驱动及对应文件

[4cxfr5 / 4cxfr5q][Stopped/Boot Start]
  <C:\windos\System32\DRIVERS\4cxfr5q.sys><N/A>
[63f51eb6 / 63f51eb6][Stopped/System Start]
  <C:\windos\System32\drivers\63f51eb6.sys><N/A>
[apcjbnqd / apcjbnqd][Stopped/Boot Start]
  <c:\windost\system32\drivers\apcjbnqd.sys><N/A>
[HBKernel Driver / HBKernel][Stopped/Boot Start]
  <C:\windos\system32\drivers\HBKernel.sys><>
并删除文件
C:\WINDOWS\system32\caotxbk.exe
C:\WINDOWS\system32\ba64a.exe
最后编辑aaccbbdd 最后编辑于 2008-07-23 17:13:59
gototop
 

回复:这病毒影响到我的生活了[附日志]

这一步很重要:复制c:\windows\system32\dllcache\explorer.exe文件粘贴到c:\windows\文件夹内(注意:如果c:\windows\system32\dllcache\explorer.exe该文件不存在,直接复制c:\windows\system32\explorer.exe粘贴到c:\windows\文件夹内,提示替换时选“是”。

1.用XDelBox勾选抑制再生后删除以下文件:(XDelBox1.7支持奥运版下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\caotxbk.exe
c:\windows\system32\hbmhly.exe
c:\windows\system32\explorer.exe
c:\windows\system32\ddserh.dll
c:\windows\system32\dndsaf.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\mghefy.dll
c:\windows\system32\rfdswc.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\wyhesm.dll
c:\windows\system32\ydggsx.dll
c:\windows\system32\zefdst.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\zycdex.dll
c:\windows\system32\hbmhly.exe
c:\windows\soni.exe
c:\windows\system32\syschk.exe
c:\windows\player.exe
c:\windows\system\mspmsnsv.dll
c:\windows\system32\avtapit.dll
c:\progra~1\lays\vkic.dll
c:\windows\system32\ba64a.exe
c:\windows\system32\hhxdikehmuqyruu.dll
c:\windows\system32\nandra.com
c:\windows\secsvr.exe
c:\windows\system32\drivers\4cxfr5q.sys
c:\windows\system32\drivers\63f51eb6.sys
c:\windows\system32\drivers\hbkernel.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys
c:\windows\system32\nessery.sys
c:\windows\system32\drivers\likrywoj.sys
c:\windows\system32\drivers\apcjbnqd.sys
c:\program files\microsoft office\system\apcdli.sys
c:\windows\system32\ebaa.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}]   
[{841529CB-7F77-4B99-A895-B5441E0D302F}]   
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]   
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]   
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]   
[{461D2AB4-29A5-45C2-9134-D52272D3DE38}]   
[{EB71E0B3-E97D-4D30-8733-E28266467617}]   
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]   
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]   
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}]   
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]   
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]   
[{C362D1C3-313C-41C8-A0C7-45458CD8D9A9}]   
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]   
[{28EB3777-3E23-4E72-8449-A992D09D24C3}]   
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]   
注意该项[AppInit_DLLs]修改:把<caotxb.dll wcnonpe.dll theralte.dll hourpx2.dll cmopes.dll sctzxy.dll longasus.dll joliom.dll offecao.dll jsnoer.dll follwel.dll irotiyy.dll welycz.dll>修改为<>即清空
[HBmhly]   
[ravmons] 
[SystemCheck] 
[N/A] 

    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[Portable Media Serial Number Service / WmdmPmSN] 
[WbWin / WbWin] 
[Windows qfdx RunThem / qfdx]
[IDCEvent / IDCEvent]   
[Windows Presentation Foundation (WPF) / application] 
[Nandra / Nandra] 
[Lenovo file service / secsvr] 

    启动项目 -- 服务-- 驱动程序之如下项删除:
[4cxfr5 / 4cxfr5q]   
[63f51eb6 / 63f51eb6]
[HBKernel Driver / HBKernel]   
[ntptdb / ntptdb]   
[nessery / nessery] 
[likrywoj / likrywoj]
[apcjbnqd / apcjbnqd]
[apcdli / apcdli]   

    系统修复-- 浏览器加载项之如下项删除:
[Invoke Class]    <C:\WINDOWS\system32\ebaa.dll>
[Invoke Class]    <C:\WINDOWS\system32\ebaa.dll>

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip
不认识我没关系,因为我也不认识你。
gototop
 

回复:这病毒影响到我的生活了[附日志]

啊?

真复杂,

都不知道该怎么弄!
gototop
 

回复: 这病毒影响到我的生活了[附日志]

删除一下文件:工具用xdelbox,使用方法见签名
C:\WINDOWS\system32\caotxbk.exe
C:\WINDOWS\system32\HBmhly.exe
C:\WINDOWS\soni.exe
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zefdst.dll
C:\WINDOWS\system32\ddserh.dll

C:\WINDOWS\system32\mghefy.dll

C:\WINDOWS\system32\sgdewg.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\dndsaf.dll
C:\WINDOWS\system32\zycdex.dll
C:\WINDOWS\system32\zsdgff.dll
C:\WINDOWS\system32\rfdswc.dll

C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\ydggsx.dll
C:\WINDOWS\system32\tdggrz.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\kgfghd.dll
用Sreng工具编辑<AppInit_DLLs><caotxb.dll wcnonpe.dll theralte.dll hourpx2.dll cmopes.dll sctzxy.dll longasus.dll joliom.dll offecao.dll jsnoer.dll follwel.dll irotiyy.dll welycz.dll>  [N/A]最后编辑成<AppInit_DLLs><>  [N/A]

先禁止再删除以下服务
[4cxfr5 / 4cxfr5q][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\4cxfr5q.sys><N/A>注:文件路径为:C:\WINDOWS\system32\DRIVERS\4cxfr5q.sys
[63f51eb6 / 63f51eb6][Stopped/System Start]
  <\SystemRoot\System32\drivers\63f51eb6.sys><N/A>注:文件路径为:C:\WINDOWS\system32\DRIVERS\63f51eb6.sys
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>注:文件路径为:C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys

[apcjbnqd / apcjbnqd][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\apcjbnqd.sys><N/A>注:文件路径为:C:\WINDOWS\system32
\drivers\apcjbnqd.sys
[HBKernel Driver / HBKernel][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel.sys><>注:文件路径为:C:\WINDOWS\system32drivers\HBKernel.sys
[likrywoj / likrywoj][Running/Boot Start]
  <\SystemRoot\system32\drivers\likrywoj.sys><N/A>注:文件路径为:C:\WINDOWS\system32\drivers\likrywoj.sys
[nessery / nessery][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nessery.sys><N/A>注:文件路径为:C:\WINDOWS\system32\Nessery.sys(先上传至http://www.virustotal.com/zh-cn/扫描一下)
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>C:\WINDOWS\system32\drivers\secdrv.sys
工具使用方法:http://bbs.ikaka.com/showtopic-8442813-1.aspx在线中文输入法::http://dict.cn/ime/
在线扫描病毒网站::http://www.virustotal.com/zh-cn/
有事请QQ联系本人
gototop
 

回复:这病毒影响到我的生活了[附日志]

操作方法在我签名
建议重装操作系统
用卡卡上网助手打全系统补丁(除SP3)最好用超级兔子升级天使
下载超级兔子的升级天使
断网
打补丁

这个一定要看
http://bbs.ikaka.com/showtopic-8508653.aspx
gototop
 

回复: 这病毒影响到我的生活了[附日志]

附件为使用WINDOWS清理助手针对您的情况制作的自定义脚本


使用WINDOWS清理助手  (点击下载)

1下载后解压缩附件,得到一个INI文件
2请打开WINDOWS清理助手,点击【清理相关】-【自定义对象】,点击下面的【导入】
浏览并选择此INI文件,点击确认
3点击【定制扫描】,选则【扫描所有文件】,勾选所有风险对象进行一次完整扫描

附件附件:

文件名:1.rar
下载次数:197
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-23 17:37:55
描述:rar

汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:这病毒影响到我的生活了[附日志]

非常感谢aaccbbdd 、豪斯登堡新郎 、QQ凌帆 、天云一剑 !

谢谢你们的大力支持!

我正在慢慢试着修复... ...
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT