1   1  /  1  页   跳转

[已解决] 中毒 有资料帮分析1下

中毒 有资料帮分析1下

附件: SREngLOG.log (2009-1-13 11:11:13, 55.03 K)
该附件被下载次数 136

  十分感谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑随便起的名 最后编辑于 2009-01-13 13:40:34
分享到:
gototop
 

回复:中毒 有资料帮分析1下

C:\Program Files\hxupdate\hxgame-update.exe
C:\Program Files\\hxupdate\\hxgame-update.exe
C:\WINDOWS\system32\System.exe
[C:\WINDOWS\system32\anymie360.dll]  [N/A, ]
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sv1D.tmp
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\sv1F.tmp.exe
C:\WINDOWS\system32\NPel.exe
System32\Drivers\msiffei.sys
C:\WINDOWS\system32\Drivers\Rspp.sys
    [C:\WINDOWS\system32\csrss.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh07006.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh08025.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh09028.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh12019.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh28016.dll]  [N/A, ]
    [C:\WINDOWS\system32\sinx32.dll]  [N/A, ]
    [c:\windows\system32\rpcss.dll]  [N/A, ]
    [C:\WINDOWS\system32\mfocakib.dll]  [N/A, ]
    [C:\WINDOWS\system32\ejjiafio.dll]  [N/A, ]
    [C:\WINDOWS\system32\eppeomfh.dll]  [N/A, ]
    [C:\WINDOWS\system32\fimlbben.dll]  [N/A, ]
    [C:\WINDOWS\system32\hbkagaom.dll]  [N/A, ]
    [C:\WINDOWS\system32\bokkpeff.dll]  [N/A, ]
    [C:\WINDOWS\system32\dbokdlop.dll]  [N/A, ]
    [C:\WINDOWS\system32\hccildnm.dll]  [N/A, ]
    [C:\WINDOWS\system32\ldapibcg.dll]  [N/A, ]
    [C:\WINDOWS\system32\nblhpdkd.dll]  [N/A, ]
    [C:\WINDOWS\system32\hhlkaknp.dll]  [N/A, ]
    [C:\WINDOWS\system32\pbeldafe.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBWULIN2.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
提交到这里,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml
╭∩╮(︶︿︶)╭∩╮
gototop
 

回复:中毒 有资料帮分析1下

参见
http://bbs.ikaka.com/showtopic-8565484.aspx

可以这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

可以按照这贴的同样方法使用SmtRpl工具进行相关文件替换,
http://bbs.ikaka.com/showtopic-8561436.aspx
————————————————————————————————————
如果出现不能复制粘贴的问题,可以按照这贴进行相关文件替换操作恢复rpcss服务以及恢复其对应rpcss.dll文件
http://bbs.ikaka.com/showtopic-8561436.aspx
替换本机rpcss.dll和userinit.EXE(均在system32文件夹里)

替换后


1.建议使用XDelBox删除以下文件Xdelbox1.8下载
使用说明:先勾选抑制再生删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
)
,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。



c:\docume~1\admini~1\locals~1\temp\sv1a.tmp
c:\windows\system32\npel.exe
c:\windows\system32\sinx32.dll
c:\windows\system32\csrss.dll
c:\windows\system32\sh07006.dll
c:\windows\system32\sh08025.dll
c:\windows\system32\sh09028.dll
c:\windows\system32\sh12019.dll
c:\windows\system32\sh28016.dll
c:\windows\system32\anymie360.dll
c:\windows\system32\sv1f.tmp.exe
c:\windows\system32\bokkpeff.dll
c:\windows\system32\dbokdlop.dll
c:\windows\system32\ejjiafio.dll
c:\windows\system32\eppeomfh.dll
c:\windows\system32\fimlbben.dll
c:\windows\system32\hbkagaom.dll
c:\windows\system32\hccildnm.dll
c:\windows\system32\hhlkaknp.dll
c:\windows\system32\ldapibcg.dll
c:\windows\system32\mfocakib.dll
c:\windows\system32\nblhpdkd.dll
c:\windows\system32\pbeldafe.dll
c:\windows\system32\system.exe
c:\windows\system32\ffdodhpl.dll
c:\windows\system32\hbchibi.dll
c:\windows\system32\hbwulin2.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hlchbkkk.dll
c:\windows\system32\mbdghlhi.dll
c:\windows\system32\mkfmoble.dll
c:\windows\system32\oapglnda.dll
c:\windows\system32\nconclke.dll
c:\docume~1\admini~1\locals~1\temp\cmdlineext02.dll
c:\windows\system32\npdll.dll
c:\docume~1\admini~1\locals~1\temp\wowinitcode.dat
c:\windows\system32\haafahgk.dll
c:\windows\system32\ifpnkfph.dll
c:\windows\system32\ldehoehh.dll
c:\windows\system32\eeooihbd.dll
c:\windows\system32\ehnghbeb.dll
c:\docume~1\admini~1\locals~1\temp\sv1d.tmp
c:\windows\system32\dknhmobj.dll
c:\windows\system32\drivers\msiffei.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[1AAFA104]    <C:\WINDOWS\system32\haafahgk.dll>
[5DE18E11]    <C:\WINDOWS\system32\ldehoehh.dll>
[2F974F91]    <C:\WINDOWS\system32\ifpnkfph.dll>
[EE8821BD]    <C:\WINDOWS\system32\eeooihbd.dll>
[15C1B444]    <C:\WINDOWS\system32\hlchbkkk.dll>
[E1701BEB]    <C:\WINDOWS\system32\ehnghbeb.dll>
[64F68B5E]    <C:\WINDOWS\system32\mkfmoble.dll>
[7C87C54E]    <C:\WINDOWS\system32\nconclke.dll>
[15C1B444]    <C:\WINDOWS\system32\hlchbkkk.dll>
[7C87C54E]    <C:\WINDOWS\system32\nconclke.dll>
[F265BBE7]    <C:\WINDOWS\system32\fimlbben.dll>
[1B4A0A86]    <C:\WINDOWS\system32\hbkagaom.dll>
[B8449EFF]    <C:\WINDOWS\system32\bokkpeff.dll>
[DB84D589]    <C:\WINDOWS\system32\dbokdlop.dll>
[1CC25D76]    <C:\WINDOWS\system32\hccildnm.dll>
[5DA92BC0]    <C:\WINDOWS\system32\ldapibcg.dll>
[7B519D4D]    <C:\WINDOWS\system32\nblhpdkd.dll>
[1154A479]    <C:\WINDOWS\system32\hhlkaknp.dll>
[6BD01512]    <C:\WINDOWS\system32\mbdghlhi.dll>
[8A9057DA]    <C:\WINDOWS\system32\oapglnda.dll>
[FFD8D195]    <C:\WINDOWS\system32\ffdodhpl.dll>
[{1AAFA104-EC39-4D87-BD39-AADC6147D7E0}]    <C:\WINDOWS\system32\haafahgk.dll>
[8A9057DA]    <C:\WINDOWS\system32\oapglnda.dll>
[FFD8D195]    <C:\WINDOWS\system32\ffdodhpl.dll>
[{1AAFA104-EC39-4D87-BD39-AADC6147D7E0}]    <C:\WINDOWS\system32\haafahgk.dll>
[{5DE18E11-1E8E-44C7-9612-16D4CC1F8B5E}]    <C:\WINDOWS\system32\ldehoehh.dll>
[{2F974F91-9610-4497-81FA-2ED29B3CEC3A}]    <C:\WINDOWS\system32\ifpnkfph.dll>
[{EE8821BD-8A66-4ADB-9E1E-6D14D1FEF3F8}]    <C:\WINDOWS\system32\eeooihbd.dll>
[{E1701BEB-11A9-4147-BAF7-2FF69A3ECE8E}]    <C:\WINDOWS\system32\ehnghbeb.dll>
[{15C1B444-11FC-45D8-A130-F28891AC3CF1}]    <C:\WINDOWS\system32\hlchbkkk.dll>
[{64F68B5E-0685-433B-8DEF-6FCB75CDE431}]    <C:\WINDOWS\system32\mkfmoble.dll>
[{7C87C54E-EBBB-41B9-A286-E24CF62D7923}]    <C:\WINDOWS\system32\nconclke.dll>
[{F265BBE7-F9C5-4AC8-A993-39FE7E658191}]    <C:\WINDOWS\system32\fimlbben.dll>
[{1B4A0A86-0C14-4B3D-950D-1BAC283734D1}]    <C:\WINDOWS\system32\hbkagaom.dll>
[{B8449EFF-A1E5-4A3A-8625-2F560C7924A4}]    <C:\WINDOWS\system32\bokkpeff.dll>
[{DB84D589-80DD-4584-885C-53E29DA2F5A5}]    <C:\WINDOWS\system32\dbokdlop.dll>
[{1CC25D76-E483-4A3D-A32C-70BE68410ECC}]    <C:\WINDOWS\system32\hccildnm.dll>
[{5DA92BC0-EE3D-486F-9C81-71AF0F6B6B20}]    <C:\WINDOWS\system32\ldapibcg.dll>
[{5DA92BC0-EE3D-486F-9C81-71AF0F6B6B20}]    <C:\WINDOWS\system32\ldapibcg.dll>
[{7B519D4D-E85D-4AA4-860F-9FB29866B91A}]    <C:\WINDOWS\system32\nblhpdkd.dll>
[{1154A479-AE3F-4805-9DEA-8A2768498E9D}]    <C:\WINDOWS\system32\hhlkaknp.dll>
[{6BD01512-5775-416F-B427-D3857FDC1C61}]    <C:\WINDOWS\system32\mbdghlhi.dll>
[{FFD8D195-D0B8-46BC-AAB2-59E6CA1D0D52}]    <C:\WINDOWS\system32\ffdodhpl.dll>
[{8A9057DA-426C-4AA5-9654-3D893B1B75BA}]    <C:\WINDOWS\system32\oapglnda.dll>
注意该项[AppInit_DLLs]修改:把<HBmhly.dll,HBWULIN2.dll,HBCHIBI.dll,nblhpdkd.dll,ldapibcg.dll,hccildnm.dll,dbokdlop.dll,bokkpeff.dll,hbkagaom.dll,fimlbben.dll,nconclke.dll,mkfmoble.dll,hlchbkkk.dll,ffdodhpl.dll,oapglnda.dll,mbdghlhi.dll,hhlkaknp.dll>修改为<>即清空
[ge]    <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sv1D.tmp>
[Alcmtr]    <anymie360.exe>
[D47168B3]    <C:\WINDOWS\system32\dknhmobj.dll>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[NPel / NPel]    <C:\WINDOWS\system32\NPel.exe>
[Provisioning Transaction Service / pangu222]    <C:\WINDOWS\system32\sv1F.tmp.exe>

      启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

清理助手下载
升级清理助手,全盘扫描
清理百度工具条
gototop
 

回复:中毒 有资料帮分析1下

gototop
 

回复:中毒 有资料帮分析1下

C:\WINDOWS\SYSTEM32\SYSTEM.EXE
C:\PROGRAM FILES\WINRAR\RAR.EXE
c:\windows\system32\npel.exe
c:\docume~1\admini~1\locals~1\temp\sv1d.tmp
c:\docume~1\admini~1\locals~1\temp\sv1a.tmp
c:\program files\winrar\rar.exe
c:\windows\system32\sv1f.tmp.exe
c:\windows\system32\haafahgk.dll
c:\windows\system32\ldehoehh.dll
c:\windows\system32\ifpnkfph.dll
c:\windows\system32\eeooihbd.dll
c:\windows\system32\ehnghbeb.dll
c:\windows\system32\hlchbkkk.dll
c:\windows\system32\mkfmoble.dll
c:\windows\system32\nconclke.dll
c:\windows\system32\fimlbben.dll
c:\windows\system32\hbkagaom.dll
c:\windows\system32\dbokdlop.dll
c:\windows\system32\hccildnm.dll
c:\windows\system32\ldapibcg.dll
c:\windows\system32\nblhpdkd.dll
c:\windows\system32\hhlkaknp.dll
c:\windows\system32\mbdghlhi.dll
c:\windows\system32\oapglnda.dll
c:\windows\system32\ffdodhpl.dll
c:\windows\system32\bokkpeff.dll
hbmhly.dll,hbwulin2.dll,hbchibi.dll,nblhpdkd.dll,ldapibcg.dll,hccildnm.dll,dbokdlop.dll,bokkpeff.dll,hbkagaom.dll,fimlbben.dll,nconclke.dll,mkfmoble.dll,hlchbkkk.dll,ffdodhpl.dll,oapglnda.dll,mbdghlhi.dll,hhlkaknp.dll
c:\program files\\hxupdate\\hxgame-update.exe
c:\program files\hxupdate\hxgame-update.exe

c:\windows\system32\klikbkki.dll
c:\windows\system32\drivers\bdguard.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[1AAFA104]    <C:\WINDOWS\system32\haafahgk.dll>
[5DE18E11]    <C:\WINDOWS\system32\ldehoehh.dll>
[2F974F91]    <C:\WINDOWS\system32\ifpnkfph.dll>
[EE8821BD]    <C:\WINDOWS\system32\eeooihbd.dll>
[E1701BEB]    <C:\WINDOWS\system32\ehnghbeb.dll>
[15C1B444]    <C:\WINDOWS\system32\hlchbkkk.dll>
[64F68B5E]    <C:\WINDOWS\system32\mkfmoble.dll>
[7C87C54E]    <C:\WINDOWS\system32\nconclke.dll>
[F265BBE7]    <C:\WINDOWS\system32\fimlbben.dll>
[1B4A0A86]    <C:\WINDOWS\system32\hbkagaom.dll>
[DB84D589]    <C:\WINDOWS\system32\dbokdlop.dll>
[1CC25D76]    <C:\WINDOWS\system32\hccildnm.dll>
[5DA92BC0]    <C:\WINDOWS\system32\ldapibcg.dll>
[7B519D4D]    <C:\WINDOWS\system32\nblhpdkd.dll>
[1154A479]    <C:\WINDOWS\system32\hhlkaknp.dll>
[6BD01512]    <C:\WINDOWS\system32\mbdghlhi.dll>
[8A9057DA]    <C:\WINDOWS\system32\oapglnda.dll>
[FFD8D195]    <C:\WINDOWS\system32\ffdodhpl.dll>
[{1AAFA104-EC39-4D87-BD39-AADC6147D7E0}]    <C:\WINDOWS\system32\haafahgk.dll>
[{5DE18E11-1E8E-44C7-9612-16D4CC1F8B5E}]    <C:\WINDOWS\system32\ldehoehh.dll>
[{2F974F91-9610-4497-81FA-2ED29B3CEC3A}]    <C:\WINDOWS\system32\ifpnkfph.dll>
[{EE8821BD-8A66-4ADB-9E1E-6D14D1FEF3F8}]    <C:\WINDOWS\system32\eeooihbd.dll>
[{E1701BEB-11A9-4147-BAF7-2FF69A3ECE8E}]    <C:\WINDOWS\system32\ehnghbeb.dll>
[{15C1B444-11FC-45D8-A130-F28891AC3CF1}]    <C:\WINDOWS\system32\hlchbkkk.dll>
[{64F68B5E-0685-433B-8DEF-6FCB75CDE431}]    <C:\WINDOWS\system32\mkfmoble.dll>
[{7C87C54E-EBBB-41B9-A286-E24CF62D7923}]    <C:\WINDOWS\system32\nconclke.dll>
[{F265BBE7-F9C5-4AC8-A993-39FE7E658191}]    <C:\WINDOWS\system32\fimlbben.dll>
[{1B4A0A86-0C14-4B3D-950D-1BAC283734D1}]    <C:\WINDOWS\system32\hbkagaom.dll>
[{B8449EFF-A1E5-4A3A-8625-2F560C7924A4}]    <C:\WINDOWS\system32\bokkpeff.dll>
[{DB84D589-80DD-4584-885C-53E29DA2F5A5}]    <C:\WINDOWS\system32\dbokdlop.dll>
[{1CC25D76-E483-4A3D-A32C-70BE68410ECC}]    <C:\WINDOWS\system32\hccildnm.dll>
[{5DA92BC0-EE3D-486F-9C81-71AF0F6B6B20}]    <C:\WINDOWS\system32\ldapibcg.dll>
[{7B519D4D-E85D-4AA4-860F-9FB29866B91A}]    <C:\WINDOWS\system32\nblhpdkd.dll>
[{1154A479-AE3F-4805-9DEA-8A2768498E9D}]    <C:\WINDOWS\system32\hhlkaknp.dll>
[{6BD01512-5775-416F-B427-D3857FDC1C61}]    <C:\WINDOWS\system32\mbdghlhi.dll>
[{8A9057DA-426C-4AA5-9654-3D893B1B75BA}]    <C:\WINDOWS\system32\oapglnda.dll>
[{FFD8D195-D0B8-46BC-AAB2-59E6CA1D0D52}]    <C:\WINDOWS\system32\ffdodhpl.dll>
注意该项[AppInit_DLLs]修改:把<HBmhly.dll,HBWULIN2.dll,HBCHIBI.dll,nblhpdkd.dll,ldapibcg.dll,hccildnm.dll,dbokdlop.dll,bokkpeff.dll,hbkagaom.dll,fimlbben.dll,nconclke.dll,mkfmoble.dll,hlchbkkk.dll,ffdodhpl.dll,oapglnda.dll,mbdghlhi.dll,hhlkaknp.dll>修改为<>即清空
[ge]    <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sv1D.tmp>
[hxgame]    <C:\Program Files\\hxupdate\\hxgame-update.exe>
[hxgame-update]    <C:\Program Files\hxupdate\hxgame-update.exe>
[load]    <>
[4524B442]    <C:\WINDOWS\system32\klikbkki.dll>

    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[NPel / NPel]    <C:\WINDOWS\system32\NPel.exe>
[Provisioning Transaction Service / pangu222]    <C:\WINDOWS\system32\sv1F.tmp.exe>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[BdGuard / BdGuard]    <\SystemRoot\system32\drivers\BDGuard.SYS>

运行Userinit.exe修复工具.rar  里面的FIX Userinit.exe进行修复Userinit.exe

附件附件:

下载次数:971
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-13 11:31:41
描述:rar

最后编辑happyboys_xp 最后编辑于 2009-01-13 11:31:41
gototop
 

回复 5F happyboys_xp 的帖子

咋就整理成这样

求助者是没法操作了。。。。。
gototop
 

回复: 中毒 有资料帮分析1下

老感谢了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT