瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 帮我看下电脑有什么毒,还原都没用

1   1  /  1  页   跳转

[已解决] 帮我看下电脑有什么毒,还原都没用

收藏
悠悠的啊
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2009-01-18
  • 来自:
发表于: 2009-01-18 14:37 | 只看楼主 短消息 资料
字号: 1楼

帮我看下电脑有什么毒,还原都没用

进程名称                进程ID  线程数  进程路径                                                           
[System Process]        0      1      [System Process]                                                   
System                  4      59      System                                                             
smss.exe                552    3      \SystemRoot\System32\smss.exe                                       
csrss.exe              608    12      \??\C:\WINDOWS\system32\csrss.exe                                   
winlogon.exe            636    26      \??\C:\WINDOWS\system32\winlogon.exe                               
SERVICES.EXE            680    15      C:\WINDOWS\system32\services.exe                                   
LSASS.EXE              692    21      C:\WINDOWS\system32\lsass.exe                                       
Ati2evxx.exe            844    4      C:\WINDOWS\system32\Ati2evxx.exe                                   
SVCHOST.EXE            856    20      C:\WINDOWS\system32\svchost.exe                                     
SVCHOST.EXE            952    11      C:\WINDOWS\system32\svchost.exe                                     
SVCHOST.EXE            1068    97      C:\WINDOWS\System32\svchost.exe                                     
SVCHOST.EXE            1156    6      C:\WINDOWS\system32\svchost.exe                                     
SVCHOST.EXE            1196    14      C:\WINDOWS\system32\svchost.exe                                     
Ati2evxx.exe            1392    4      C:\WINDOWS\system32\Ati2evxx.exe                                   
Explorer.EXE            1484    17      C:\WINDOWS\Explorer.EXE                                             
spoolsv.exe            1596    11      C:\WINDOWS\system32\spoolsv.exe                                     
wdfmgr.exe              492    4      C:\WINDOWS\system32\wdfmgr.exe                                     
alg.exe                1764    6      C:\WINDOWS\System32\alg.exe                                         
conime.exe              2016    1      C:\WINDOWS\system32\conime.exe                                     
SOUNDMAN.EXE            120    2      C:\WINDOWS\SOUNDMAN.EXE                                             
ctfmon.exe              160    1      C:\WINDOWS\system32\ctfmon.exe                                     
QQ2008IIBeta1SP1.exe    224    4      D:\QQ2008IIBeta1SP1.exe                                             
385083                  2152    9      C:\DOCUME~1\new\LOCALS~1\Temp\385083                               
msiexec.exe            1216    6      C:\WINDOWS\system32\msiexec.exe                                     
488504                  2928    4      C:\DOCUME~1\new\LOCALS~1\Temp\488504                               
System.exe              2592    1      C:\WINDOWS\system32\System.exe                                     
IEXPLORE.EXE            3352    21      C:\Program Files\Internet Explorer\iexplore.exe                     
wuauclt.exe            500    4      C:\WINDOWS\system32\wuauclt.exe                                     
695773                  3004    2      C:\DOCUME~1\new\LOCALS~1\Temp\695773                               
758901                  3580    1      C:\DOCUME~1\new\LOCALS~1\Temp\758901                               
wuauclt.exe            3852    10      C:\WINDOWS\system32\wuauclt.exe

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑悠悠的啊 最后编辑于 2009-01-18 15:59:33
分享到:
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2009-01-18 14:40 | 短消息 资料
字号: 2楼

回复:帮我看下电脑有什么毒,还原都没用

这样没法看,扫SRENG日志发这论坛来
下载SRENG2.6版工具:http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
╭∩╮(︶︿︶)╭∩╮
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-01-18 14:44 | 短消息 资料
字号: 3楼

回复 1F 悠悠的啊 的帖子

是木马群


请严格按照以下步骤操作

个人建议不要偷懒,清理助手必须清理系统(如果可以运行的话),金山和sreng日志必须同时上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手,全盘扫描,只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注:如发现系统文件被替换,请将情况报上来,勿自己随意操作。如自己私自替换的,导致不能进系统,责任自负)

如清理无效

2.扫日志前关闭无用进程,如QQ,迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告
5.2份日志/报告以附件上传(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。),贴到反病毒/反流氓软件论坛.如已发帖的请跟贴,勿另开新帖。

建议2份日志同时上传,起到互补的作用(原因:金山和SRENG都能扫出另一个不能扫出的内容)!!


Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件

日志发上来以后,短消息联系我
gototop
 
悠悠的啊
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2009-01-18
  • 来自:
发表于: 2009-01-18 15:26 | 只看楼主 短消息 资料
字号: 4楼

回复: 帮我看下电脑有什么毒,还原都没用



引用:
原帖由 aaccbbdd 于 2009-1-18 14:44:00 发表
是木马群


请严格按照以下步骤操作

个人建议不要偷懒,清理助手必须清理系统(如果可以运行的话),金山和sreng日志必须同时上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手,全

附件附件:

文件名:SREngLOG.log
下载次数:165
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-18 15:26:18
描述:log

附件附件:

文件名:Result.txt
下载次数:207
文件类型:text/plain
文件大小:
上传时间:2009-1-18 15:26:18
描述:txt

附件附件:

文件名:report.txt
下载次数:565
文件类型:text/plain
文件大小:
上传时间:2009-1-18 15:26:18
描述:txt
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-01-18 15:41 | 短消息 资料
字号: 5楼

回复:帮我看下电脑有什么毒,还原都没用

http://bbs.ikaka.com/showtopic-8417665.aspx
2楼的附件里的ctfmon.exe
解压到
c:\windows\system32\文件夹
然后

1.建议使用XDelBox删除以下文件Xdelbox1.8下载地址
使用说明:先勾选抑制再生删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
),电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


c:\docume~1\new\locals~1\temp\381898
c:\docume~1\new\locals~1\temp\443822
c:\docume~1\new\locals~1\temp\178285
c:\docume~1\new\locals~1\temp\wowinitcode.dat
c:\program files\internet explorer\uzsktnt.zs3
c:\windows\system32\anymie360.dll
c:\windows\system32\bhlhohma.dll
c:\windows\system32\bjdablfo.dll
c:\windows\system32\cchbgmbg.dll
c:\windows\system32\cbjdlnof.dll
c:\windows\system32\ccnhcmok.dll
c:\windows\system32\hbchibi.dll
c:\windows\system32\iegkbfoc.dll
c:\windows\system32\ioojkodi.dll
c:\windows\system32\ldoidfnp.dll
c:\windows\system32\mbfejpod.dll
c:\windows\system32\nmgheija.dll
c:\windows\system32\pafkgabf.dll
c:\windows\system32\pembedgp.dll
c:\windows\system32\pokfjcib.dll
c:\windows\fonts\comres.dll
C:\WINDOWS\SYSTEM32\SYSTEM.EXE
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\05fd7714.dat

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[CB3D578F]    <C:\WINDOWS\system32\cbjdlnof.dll>
[6BFE398D]    <C:\WINDOWS\system32\mbfejpod.dll>
[CC1B06B0]    <C:\WINDOWS\system32\cchbgmbg.dll>
[288348D2]    <C:\WINDOWS\system32\ioojkodi.dll>
[6BFE398D]    <C:\WINDOWS\system32\mbfejpod.dll>
[CC1B06B0]    <C:\WINDOWS\system32\cchbgmbg.dll>
[B151816A]    <C:\WINDOWS\system32\bhlhohma.dll>
[2E04BF8C]    <C:\WINDOWS\system32\iegkbfoc.dll>
[9E6BED09]    <C:\WINDOWS\system32\pembedgp.dll>
[5D82DF79]    <C:\WINDOWS\system32\ldoidfnp.dll>
[9AF40ABF]    <C:\WINDOWS\system32\pafkgabf.dll>
[B3DAB5F8]    <C:\WINDOWS\system32\bjdablfo.dll>
[984F3C2B]    <C:\WINDOWS\system32\pokfjcib.dll>
[7601E23A]    <C:\WINDOWS\system32\nmgheija.dll>
[CC71C684]    <C:\WINDOWS\system32\ccnhcmok.dll>
[A15B097B]    <>
[E198DA7C]    <>
[A15B097B]    <>
[7DD5E72D]    <>
[E198DA7C]    <>
[551C287F]    <>
[A15B097B]    <>
[7DD5E72D]    <>
[E198DA7C]    <>
[551C287F]    <>
[2414D589]    <>
[D72A8081]    <>
[9AFC5DB8]    <>
[AE073452]    <>
[FBA2A7B6]    <>
[58CDE1A2]    <>
[6E6FBE7A]    <>
[22632311]    <>
[6F2FCA60]    <>
[{47665FA5-FCF5-4444-B552-DF6549ECCA27}]    <C:\Program Files\Internet Explorer\UzsKtNt.Zs3>
[{CB3D578F-A96C-4256-B8D7-96BA22A1060A}]    <C:\WINDOWS\system32\cbjdlnof.dll>
[{6BFE398D-167F-45C6-9737-3BA7A7EFB4F3}]    <C:\WINDOWS\system32\mbfejpod.dll>
[{288348D2-233B-4B65-B9E7-DFEF0C792C38}]    <C:\WINDOWS\system32\ioojkodi.dll>
[{CC1B06B0-A888-4918-B6DE-04297A2CCD16}]    <C:\WINDOWS\system32\cchbgmbg.dll>
[{B151816A-F287-42BD-848E-1236E9C3E5A6}]    <C:\WINDOWS\system32\bhlhohma.dll>
[{9E6BED09-EF4F-4D6B-8BC0-CC8EBD9D8838}]    <C:\WINDOWS\system32\pembedgp.dll>
[{2E04BF8C-D2D4-47B1-A7B1-A0E4924C1E11}]    <C:\WINDOWS\system32\iegkbfoc.dll>
[{5D82DF79-2AD1-4D33-B74C-D17183D241C2}]    <C:\WINDOWS\system32\ldoidfnp.dll>
[{9AF40ABF-1066-48C2-B7FD-F17C98BC81FE}]    <C:\WINDOWS\system32\pafkgabf.dll>
[{B3DAB5F8-B496-4B5C-B9CE-32780230A1E8}]    <C:\WINDOWS\system32\bjdablfo.dll>
[{984F3C2B-6229-4804-BB7F-697C748942FD}]    <C:\WINDOWS\system32\pokfjcib.dll>
[{7601E23A-B4E6-4CCA-97A2-2E4DE384437D}]    <C:\WINDOWS\system32\nmgheija.dll>
[{CC71C684-EC0B-47D6-9602-0CBE15888FAC}]    <C:\WINDOWS\system32\ccnhcmok.dll>
[ctfn]    <C:\DOCUME~1\new\LOCALS~1\Temp\443822>
[Alcmtr]    <anymie360.exe>
[HBService32]    <System.exe>
注意该项[AppInit_DLLs]修改:把<C:\WINDOWS\fonts\ComRes.dll ccnhcmok.dll,nmgheija.dll,HBCHIBI.dll,pokfjcib.dll,bjdablfo.dll,pafkgabf.dll,ldoidfnp.dll,iegkbfoc.dll,pembedgp.dll,bhlhohma.dll,cchbgmbg.dll,ioojkodi.dll,mbfejpod.dll,cbjdlnof.dll>修改为<>即清空


启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\05FD7714.dat>

    系统修复-- 浏览器加载项之如下项删除:

[]    <C:\Program Files\Internet Explorer\UzsKtNt.Zs3>
[]    <C:\Program Files\Internet Explorer\UzsKtNt.Zs3>
本帖被评分 1 次
最后编辑aaccbbdd 最后编辑于 2009-01-18 15:42:44
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT