1   1  /  1  页   跳转

[已解决] 厉害的病毒

收藏
yebuxing
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2009-01-18
  • 来自:
发表于: 2009-01-18 22:09 | 只看楼主 短消息 资料
字号: 1楼

厉害的病毒

困扰多天了?

附件附件:

下载次数:292
文件类型:text/plain
文件大小:
上传时间:2009-1-18 22:08:36
描述:txt

附件附件:

文件名:SREng.log
下载次数:112
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-18 22:08:36
描述:log

附件附件:

文件名:SREngLOG.log
下载次数:129
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-19 10:14:31
描述:log

最后编辑yebuxing 最后编辑于 2009-01-19 11:29:17
分享到:
gototop
 
sytu_sj1988
头像
自信弱冠狮
  • 帖子:349
  • 注册: 2008-12-23
  • 来自:
发表于: 2009-01-18 23:11 | 短消息 资料
字号: 2楼

回复: 厉害的病毒

根据后来楼主QQ发给我的最新的扫描报告给的下面的回复

貌似要先替换 comres.dll


1.建议使用XDelBox删除以下文件Xdelbox1.8下载地址
使用说明:先勾选抑制再生删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
),电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

C:\windows\fonts\ctm04002.ttf
C:\windows\system32\drivers\gieiffgc.sys
C:\windows\system32\drivers\ihceagai.sys
C:\windows\system32\drivers\jhcafcib.sys

2.删除重启后使用SREng修复下面各项:

注意该项[AppInit_DLLs]修改:把<C:\windows\system32\COMRes.dll 给?>修改为<>即清空

  启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[gieiffgc / gieiffgc][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\gieiffgc.sys><N/A>
[ihceagai / ihceagai][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\ihceagai.sys><N/A>
[jhcafcib / jhcafcib][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\jhcafcib.sys><N/A>

就这些吧
最后编辑sytu_sj1988 最后编辑于 2009-01-19 01:01:16
gototop
 
sytu_sj1988
头像
自信弱冠狮
  • 帖子:349
  • 注册: 2008-12-23
  • 来自:
发表于: 2009-01-19 00:57 | 短消息 资料
字号: 3楼

回复:厉害的病毒

貌似我做错事了,那三个名字奇怪,没有任何信息,网上也查不到的驱动貌似是系统的驱动程序,让楼主大哥删掉以后他进系统了发现 网卡,鼠标 都不能识别也不能用了。
应该先让上报到可疑文件交流区等回复再操作的。
都是我造成的,对不起啊。我不会真是个祸害吧~
gototop
 
yebuxing
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2009-01-18
  • 来自:
发表于: 2009-01-19 09:51 | 只看楼主 短消息 资料
字号: 4楼

回复 3F sytu_sj1988 的帖子

没关系的, 我今天在CMOS中复位 ,已经修复故障,  还原了系统,但是不知道病毒是不是还存在?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-19 10:07 | 短消息 资料
字号: 5楼

回复:厉害的病毒

既然恢复系统,那么在来日志看

如果恢复 以前的备份,很可能这三个驱动已经没有了

以后还是看实际文件判断为好


==================================
驱动程序
[gieiffgc / gieiffgc][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\gieiffgc.sys><N/A>

[ihceagai / ihceagai][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\ihceagai.sys><N/A>

[jhcafcib / jhcafcib][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\jhcafcib.sys><N/A>

这三驱动的随机名特性,至少我是高度怀疑的。

但是到底楼主厉害的毒的详细情况是什么呢?

详细病毒文件名和路径呢?
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
yebuxing
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2009-01-18
  • 来自:
发表于: 2009-01-19 10:16 | 只看楼主 短消息 资料
字号: 6楼

回复 5F 天月来了 的帖子

这个是最新的报告
gototop
 
sytu_sj1988
头像
自信弱冠狮
  • 帖子:349
  • 注册: 2008-12-23
  • 来自:
发表于: 2009-01-19 10:20 | 短消息 资料
字号: 7楼

回复:厉害的病毒

还原后那三个驱动还在,但是病毒出来的时间很随机,网络是先有本地连接再拨号,怀疑是ARP病毒。
但是很奇怪昨天为什么comres.dll怎么成了
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><C:\windows\system32\COMRes.dll 给?>  [File is missing]
可能被病毒感染了,然后下载了一个传过去,他的已经被瑞星直接删掉文件了。
最后编辑sytu_sj1988 最后编辑于 2009-01-19 10:33:06
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-19 10:26 | 短消息 资料
字号: 8楼

回复:厉害的病毒

你XPSP2系统怎么还是这输入法?
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <internat.exe><internat.exe>  [Microsoft Corporation]
——————————————————————————————————————————————
用解压工具WinRAR依路径打开文件夹找下面文件,复制压缩发来看,找不到的不管它

C:\windows\system32\drivers\gieiffgc.sys
C:\windows\system32\drivers\ihceagai.sys
C:\windows\system32\drivers\jhcafcib.sys
C:\windows\system32\drivers\sscfs.sys
C:\windows\system32\NpOpenStore.dll
C:\windows\system32\NPCard.dll
C:\windows\system32\RsaFun.dll
C:\windows\system32\GPKPCSC.dll




还有详细病毒文件名和路径呢?

是一连网就有毒?还是不连网都反复杀出同一样的病毒?
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
sytu_sj1988
头像
自信弱冠狮
  • 帖子:349
  • 注册: 2008-12-23
  • 来自:
发表于: 2009-01-19 10:45 | 短消息 资料
字号: 9楼

回复:厉害的病毒

C:\windows\system32\drivers\gieiffgc.sys
C:\windows\system32\drivers\ihceagai.sys
C:\windows\system32\drivers\jhcafcib.sys
这些找不到,根本就不存在文件

C:\windows\system32\NpOpenStore.dll
C:\windows\system32\NPCard.dll
C:\windows\system32\RsaFun.dll
C:\windows\system32\GPKPCSC.dll
这些才让他打包传到http://www.virscan.org/
扫描是全部杀软报无毒~

C:\windows\system32\drivers\sscfs.sys
这一个可疑程度2/37
飞塔 报 可疑
MCAFEE报 generic Rookit I

注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <internat.exe><internat.exe>  [Microsoft Corporation]
这个是现在才有的

还有就是刚才清理助手扫出4个病毒,现在已经显示没有病毒了。
最后编辑sytu_sj1988 最后编辑于 2009-01-19 10:51:56
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-19 10:58 | 短消息 资料
字号: 10楼

回复:厉害的病毒



没病毒就行了

那驱动我原本估计就没文件存在的
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT