补充扫描后每次都是

appinit_dlls默认参数不正确。改过后 重启依然发现被修改



这个是鉴定的http://bbs.ikaka.com/showtopic-8590141.aspx

杀毒软件升级至最新版本，全盘杀毒

在安全模式下么？

那更好了

还不行，再来最新日志求助

sha du shi bai

mei you shu ru fa le

这次的木马群真厉害

也不知道你做了什么，已经一大堆木马进入系统并运行了。

并且木马群只劫持针对瑞星和迅雷的软件

na jie xia lai gai zen me ban

GHOST?

jie jue shi bai

chong qi hou ji xu you

你等会

我给你方法

你试着清理一下

我想知道到底这次的木马群，能不能手工清理

——————————————————————————————————————————
这里下载手工清理木马群工具包：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

然后作好下面操作需要的所有准备，彻底断网处理。
———————————————————————
你只有用工具包内的“SmtDel删除文件工具”（有操作说明）去删除病毒文件，将你下载的SmtDel程序解压出来放到系统盘C盘的文件夹里启动运行。复制粘贴下面文件操作删除：

C:\WINDOWS\system32\HBCHIBI.dll
C:\WINDOWS\system32\ombcjpdl.dll
C:\WINDOWS\system32\kcahmhgg.dll
C:\WINDOWS\system32\kiinaeae.dll
C:\WINDOWS\system32\gmfbohgp.dll
C:\WINDOWS\system32\alcnljhh.dll
C:\WINDOWS\system32\jjcbckbh.dll
C:\WINDOWS\system32\gmdkbeia.dll
C:\WINDOWS\system32\elokfabe.dll
C:\WINDOWS\system32\nllhdlmp.dll
C:\WINDOWS\system32\HBCHIBI.dll
C:\DOCUME~1\DELL\LOCALS~1\Temp\WowInitcode.dat
C:\WINDOWS\system32\anymie360.dll
C:\WINDOWS\system32\imkcpnge.dll
C:\WINDOWS\system32\cnakbkmj.dll
C:\WINDOWS\system32\fifnmfpj.dll
C:\WINDOWS\system32\System.exe
C:\DOCUME~1\DELL\LOCALS~1\Temp\235438
C:\DOCUME~1\DELL\LOCALS~1\Temp\280911
C:\DOCUME~1\DELL\LOCALS~1\Temp\5ca7b.dll
C:\DOCUME~1\DELL\LOCALS~1\Temp\282066
C:\DOCUME~1\DELL\LOCALS~1\Temp\296551
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\61CD8D48.dat
C:\WINDOWS\system32\anymie360.exe
C:\WINDOWS\anymie360.exe

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。
———————————————————————
可以这贴里找相同系统里的ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32文件夹里的ctfmon.exe替换回正常的系统文件.
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <HBService32><System.exe>  [HB Software]
    <Alcmtr><anymie360.exe>  []
    <{CBFD1014-58B1-4998-9881-F17A63494250}><C:\WINDOWS\system32\cbfdhghk.dll>  []
    <{6A0C64E3-37B9-40E6-A9BD-2A6018413954}><C:\WINDOWS\system32\magcmkej.dll>  [File is missing]
    <{1106198F-A114-491F-A426-2C9955B17397}><C:\WINDOWS\system32\hhgmhpof.dll>  [File is missing]
    <{66765B16-E3F4-4680-AE00-5A5193681DB6}><C:\WINDOWS\system32\mmnmlbhm.dll>  [File is missing]
    <{F7FA2A89-A163-4C5E-9050-1B8A61B64F58}><C:\WINDOWS\system32\fnfaiaop.dll>  [File is missing]
    <{6ACD7E19-DBF2-4806-BB81-3DE0BC54996B}><C:\WINDOWS\system32\macdnehp.dll>  [File is missing]
    <{A0B15518-77B0-4FAC-BF46-8997ACD5BD4F}><C:\WINDOWS\system32\agbhllho.dll>  []
    <{E8984E54-2A84-46C2-963E-1F8725BC8760}><C:\WINDOWS\system32\eopokelk.dll>  [File is missing]
    <{2C407FA4-1788-4EB4-9DA6-4C597CE29054}><C:\WINDOWS\system32\ickgnfak.dll>  []
    <{86BC39D5-88B2-4545-86B7-E08D7D8C9363}><C:\WINDOWS\system32\ombcjpdl.dll>  []
    <{4CA16100-3462-4F8D-B62E-83ABBCA814AB}><C:\WINDOWS\system32\kcahmhgg.dll>  []
    <{4227AEAE-8D63-445C-A28C-0D73D97E382C}><C:\WINDOWS\system32\kiinaeae.dll>  []
    <{06FB8109-53FE-4ECF-8B5B-D5BE2CEB7743}><C:\WINDOWS\system32\gmfbohgp.dll>  []
    <{A5C75311-FC52-41DE-9417-EB9880EE2A52}><C:\WINDOWS\system32\alcnljhh.dll>  []
    <{33CBC4B1-EC76-44E7-B1F4-09335B8584F1}><C:\WINDOWS\system32\jjcbckbh.dll>  []
    <{06D4BE2A-011C-49B0-A07C-07EDEC1A7784}><C:\WINDOWS\system32\gmdkbeia.dll>  []
    <{E584FABE-D2A1-43DC-819A-122B896D0880}><C:\WINDOWS\system32\elokfabe.dll>  []
    <{573133AA-46E6-487A-8EAB-9A38C6E9B315}><C:\Program Files\Internet Explorer\UzKtNt.Org>  [File is missing]
    <{7551D569-82F3-4042-8109-510B8B0C28E8}><C:\WINDOWS\system32\nllhdlmp.dll>  []
    <86BC39D5><C:\WINDOWS\system32\ombcjpdl.dll>  []
    <4CA16100><C:\WINDOWS\system32\kcahmhgg.dll>  []
    <4227AEAE><C:\WINDOWS\system32\kiinaeae.dll>  []
    <06FB8109><C:\WINDOWS\system32\gmfbohgp.dll>  []
    <A5C75311><C:\WINDOWS\system32\alcnljhh.dll>  []
    <33CBC4B1><C:\WINDOWS\system32\jjcbckbh.dll>  []
    <06D4BE2A><C:\WINDOWS\system32\gmdkbeia.dll>  []
    <E584FABE><C:\WINDOWS\system32\elokfabe.dll>  []
    <7551D569><C:\WINDOWS\system32\nllhdlmp.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\61CD8D48.dat><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {573133AA-46E6-487A-8EAB-9A38C6E9B315} <C:\Program Files\Internet Explorer\UzKtNt.Org, N/A>
[]
  {573133AA-46E6-487A-8EAB-9A38C6E9B315} <C:\Program Files\Internet Explorer\UzKtNt.Org, N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx