发表于: 2009-02-03 10:21 | 短消息 资料
字号: 11楼

回复: ji si ren a

里找相同系统里的ctmon.exe下载:
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”(有使用说明)
将C:\WINDOWS\system32\里的文件替换回正常的系统文件

建议断网操作:

使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\bmkimjbf.dll
c:\windows\system32\foabfmbi.dll
c:\windows\system32\ikanmech.dll
c:\windows\system32\gjokfklj.dll
c:\windows\system32\ookmicdp.dll
c:\windows\system32\ebgfbake.dll
c:\windows\system32\ipgbbaij.dll
c:\windows\system32\gcenpdel.dll
c:\windows\system32\delmiigk.dll
c:\windows\system32\ohnhpggi.dll
c:\windows\system32\beophaho.dll
c:\windows\system32\dohgncbf.dll
c:\program files\internet explorer\powernt.onz
c:\windows\system32\anymie360.exe
c:\windows\anymie360.exe
c:\windows\system32\jdfkkedo.dll
c:\windows\system32\agglklbe.dll
c:\windows\system32\omajbblb.dll
c:\windows\system32\llfollkp.dll
c:\windows\system32\dgkiljij.dll
c:\windows\system32\glnpjola.dll
c:\windows\system32\igjapjob.dll
c:\windows\system32\eckjahhg.dll
c:\windows\system32\gldfkdeg.dll
c:\windows\fonts\ctmres.dll
c:\windows\system32\opcnajkm.dll
c:\windows\system32\fbmnlhhn.dll
c:\windows\system32\mlcechoi.dll
c:\windows\system32\paejedcb.dll
c:\windows\system32\bjpnjhji.dll
c:\windows\system32\oiehadcb.dll
c:\windows\system32\ofhapfdb.dll
c:\windows\system32\dfefebjf.dll
c:\windows\system32\gdabpnck.dll
c:\windows\system32\lcaikgeo.dll
c:\windows\fonts\ctm01025.ttf
c:\windows\fonts\ctm11008.ttf
c:\windows\fonts\ctmres.dll
c:\windows\system32\clagpadi.dll
c:\docume~1\admini~1\locals~1\temp\wowinitcode.dat
c:\windows\system32\anymie360.dll
c:\windows\system32\dgjfbckg.dll
c:\windows\system32\llihldfh.dll
c:\windows\fonts\ctm04004.ttf
c:\windows\system32\ainkbcdj.dll
c:\windows\system32\gebflnfd.dll
c:\windows\system32\jmmmjmge.dll
c:\windows\system32\pfdikkec.dll
c:\windows\system32\pgcmmdin.dll
c:\windows\fonts\ctm09003.ttf
c:\windows\system32\9076b7bc.dat
c:\windows\system32\drivers\msiffei.sys


删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[B64263BF]    <C:\WINDOWS\system32\bmkimjbf.dll>
[F8ABF6B2]    <C:\WINDOWS\system32\foabfmbi.dll>
[24A76EC1]    <C:\WINDOWS\system32\ikanmech.dll>
[0384F453]    <C:\WINDOWS\system32\gjokfklj.dll>
[88462CD9]    <C:\WINDOWS\system32\ookmicdp.dll>
[EB0FBA4E]    <C:\WINDOWS\system32\ebgfbake.dll>
[290BBA23]    <C:\WINDOWS\system32\ipgbbaij.dll>
[0CE79DE5]    <C:\WINDOWS\system32\gcenpdel.dll>
[DE562204]    <C:\WINDOWS\system32\delmiigk.dll>
[81719002]    <C:\WINDOWS\system32\ohnhpggi.dll>
[BE891A18]    <C:\WINDOWS\system32\beophaho.dll>
[D8107CBF]    <C:\WINDOWS\system32\dohgncbf.dll>
[{B64263BF-CFDB-41E4-A74F-38D6794275A5}]    <C:\WINDOWS\system32\bmkimjbf.dll>
[{F8ABF6B2-9A9D-4F00-90BD-07AE4AED256B}]    <C:\WINDOWS\system32\foabfmbi.dll>
[{24A76EC1-8E65-4B06-B49C-CCA3F45447F5}]    <C:\WINDOWS\system32\ikanmech.dll>
[{0384F453-5E9A-49C2-B85F-C602F6D8CA8D}]    <C:\WINDOWS\system32\gjokfklj.dll>
[{88462CD9-A249-4EA3-B874-C843F9359B35}]    <C:\WINDOWS\system32\ookmicdp.dll>
[{EB0FBA4E-A677-454C-8D7F-BBBAB5520971}]    <C:\WINDOWS\system32\ebgfbake.dll>
[{290BBA23-E832-4B65-AF7E-F038D541851D}]    <C:\WINDOWS\system32\ipgbbaij.dll>
[{0CE79DE5-1F92-48BC-ACE6-4D35F5E58DE8}]    <C:\WINDOWS\system32\gcenpdel.dll>
[{DE562204-B158-4B55-BEF2-D365CB4C112E}]    <C:\WINDOWS\system32\delmiigk.dll>
[{81719002-D2A6-4B91-A9CA-42F29D52D3CD}]    <C:\WINDOWS\system32\ohnhpggi.dll>
[{BE891A18-1D8C-4228-8D2F-62795E5A948A}]    <C:\WINDOWS\system32\beophaho.dll>
[{D8107CBF-7877-4065-BF36-587C514133C7}]    <C:\WINDOWS\system32\dohgncbf.dll>
[{478932A2-862F-4A34-A264-54A6EB998FDE}]    <C:\Program Files\Internet Explorer\PowerNt.Onz>
[Alcmtr]    <anymie360.exe>
[{3DF44ED8-FA6B-40BD-8CB4-DE51A58DA9A3}]    <C:\WINDOWS\system32\jdfkkedo.dll>
[{A00545BE-937D-46B6-A24A-897B008139FF}]    <C:\WINDOWS\system32\agglklbe.dll>
[{86A3BB5B-D337-4D4D-A478-80C01F7E3D2C}]    <C:\WINDOWS\system32\omajbblb.dll>
[{55F85549-37C1-40A2-A474-47FC40A20A6A}]    <C:\WINDOWS\system32\llfollkp.dll>
[{D0425323-9A14-484F-9BF9-E2F6BDCE7B1B}]    <C:\WINDOWS\system32\dgkiljij.dll>
[{0579385A-D97A-422B-8957-B7ED47032D90}]    <C:\WINDOWS\system32\glnpjola.dll>
[{203A938B-4105-4FD9-8817-47E1F8C07D7D}]    <C:\WINDOWS\system32\igjapjob.dll>
[{EC43A110-3951-4889-9E1B-76B06DF03CAB}]    <C:\WINDOWS\system32\eckjahhg.dll>
[{05DF4DE0-8529-4521-B89C-8C6E6F1AE252}]    <C:\WINDOWS\system32\gldfkdeg.dll>
注意该项[AppInit_DLLs]修改:把<C:\WINDOWS\fonts\CtmRes.dll beophaho.dll,ohnhpggi.dll,dohgncbf.dll,ebgfbake.dll,delmiigk.dll,gcenpdel.dll,ipgbbaij.dll,kmon.dll,ookmicdp.dll,gjokfklj.dll,ikanmech.dll,foabfmbi.dll,bmkimjbf.dll>修改为<>即清空
[89C7A346]    <C:\WINDOWS\system32\opcnajkm.dll>
[FB675117]    <C:\WINDOWS\system32\fbmnlhhn.dll>
[65CEC182]    <C:\WINDOWS\system32\mlcechoi.dll>
[9AE3EDCB]    <C:\WINDOWS\system32\paejedcb.dll>
[B3973132]    <C:\WINDOWS\system32\bjpnjhji.dll>
[82E1ADCB]    <C:\WINDOWS\system32\oiehadcb.dll>
[8F1A9FDB]    <C:\WINDOWS\system32\ofhapfdb.dll>
[DFEFEB3F]    <C:\WINDOWS\system32\dfefebjf.dll>
[0DAB97C4]    <C:\WINDOWS\system32\gdabpnck.dll>
[5CA240E8]    <C:\WINDOWS\system32\lcaikgeo.dll>
[3DF44ED8]    <C:\WINDOWS\system32\jdfkkedo.dll>
[A00545BE]    <C:\WINDOWS\system32\agglklbe.dll>
[86A3BB5B]    <C:\WINDOWS\system32\omajbblb.dll>
[55F85549]    <C:\WINDOWS\system32\llfollkp.dll>
[D0425323]    <C:\WINDOWS\system32\dgkiljij.dll>
[0579385A]    <C:\WINDOWS\system32\glnpjola.dll>
[203A938B]    <C:\WINDOWS\system32\igjapjob.dll>
[EC43A110]    <C:\WINDOWS\system32\eckjahhg.dll>
[05DF4DE0]    <C:\WINDOWS\system32\gldfkdeg.dll>
[{89C7A346-DBE8-43F4-8EEC-C6518079CA99}]    <C:\WINDOWS\system32\opcnajkm.dll>
[{FB675117-C180-457C-9EB0-67E8020B2D00}]    <C:\WINDOWS\system32\fbmnlhhn.dll>
[{65CEC182-D711-4001-97FB-5BDAB70364A4}]    <C:\WINDOWS\system32\mlcechoi.dll>
[{9AE3EDCB-BF79-45D1-BE7E-DB600804AA66}]    <C:\WINDOWS\system32\paejedcb.dll>
[{B3973132-8ECF-48E5-B6CF-20428CAD993F}]    <C:\WINDOWS\system32\bjpnjhji.dll>
[{82E1ADCB-5E31-46C1-A081-9D92B4E281DF}]    <C:\WINDOWS\system32\oiehadcb.dll>
[{8F1A9FDB-2CD9-4E2E-895C-B4BE721A2E7A}]    <C:\WINDOWS\system32\ofhapfdb.dll>
[{DFEFEB3F-227C-46B9-9B19-2EAAE7F0E198}]    <C:\WINDOWS\system32\dfefebjf.dll>
[{0DAB97C4-A5B7-44FB-856B-420D9354027E}]    <C:\WINDOWS\system32\gdabpnck.dll>
[{5CA240E8-383F-4FB4-B2D3-4E7FE34447D3}]    <C:\WINDOWS\system32\lcaikgeo.dll>
[IFEO[CCenter.exe]]    <svchost.exe>
[IFEO[RsAgent.exe]]    <svchost.exe>
[IFEO[Thunder5.exe]]    <svchost.exe>


启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):


[io / io]    <>
[io / io]    <>
[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\9076B7BC.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

系统修复——浏览器加载项之如下项删除


[]    <C:\Program Files\Internet Explorer\PowerNt.Onz>
[]    <C:\Program Files\Internet Explorer\PowerNt.Onz>

系统目录外的其他各软件程序同目录内病毒恶意创建的usp10.dll文件,以及QQ目录内被病毒恶意创建的psapi.dll文件找到全部删除



用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/



最后编辑backway 最后编辑于 2009-02-03 10:22:55