传个新日志吧...楼主动手能力很强嘛.....手动杀应该也挺有自信的..

附件: SREngLOG.log (2009-2-17 22:35:52, 122.29 K)
该附件被下载次数 107

以前手动杀过几次，挺享受那个过程。可这个病毒是有些难缠！

下面的操作需断网进行..请先下好xdelbox,映像劫持修复工具,SmtRpl和系统备份文件
sp2的下载在2楼.SmtRpl也在里面了
http://bbs.ikaka.com/showtopic-8417665.aspx
映像劫持修复工具
[url=showtopic-8545446.aspx]http://bbs.ikaka.com/showtopic-8545446.aspx[/url]


1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


C:\WINDOWS\Fonts\blhenbbu.dll 
C:\WINDOWS\system32\ar12A403dll.dll 
C:\WINDOWS\system32\iankemfe.dll 
C:\WINDOWS\system32\eleigbng.dll 
C:\WINDOWS\system32\gngljajb.dll 
C:\WINDOWS\system32\bgjceaim.dll 
C:\WINDOWS\system32\bgneifmh.dll 
C:\WINDOWS\system32\oacbghgc.dll 
C:\WINDOWS\system32\kmabpglf.dll 
C:\WINDOWS\system32\apblaied.dll
C:\WINDOWS\system32\apmomfgf.dll 
C:\WINDOWS\system32\mjikjgin.dll
C:\WINDOWS\system32\eeiddajc.dll 
C:\WINDOWS\system32\enhglfpe.dll 
C:\WINDOWS\system32\ghpeafdm.dll 
C:\WINDOWS\system32\daoladem.dll 
C:\WINDOWS\system32\hgemhcab.dll
C:\WINDOWS\system32\gjuadf.dll
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\Nskhelper2.sys
C:\WINDOWS\system32\drivers\pnpmem.sys
C:\WINDOWS\system32\drivers\vhwtzzp.sys
C:\Program Files\Internet Explorer\BoboNt.jsp
C:\WINDOWS\system32\ar12A403dll.dll
C:\Program Files\Internet Explorer\BoboNet.jsp
C:\WINDOWS\fonts\ctm15002.ttf
C:\WINDOWS\system32\aliente32.dll
C:\WINDOWS\TEMP\elementzx.dll
C:\WINDOWS\system32\appwinproc.dll
C:\WINDOWS\TEMP\WowInitcode.dat


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
    {2EEEDBE8-79F4-4CAE-B6D9-2E63A7B680FA}
    {5A041F13-A111-12A4-B0CF-F99818AA68A5}
    {2A74E6FE-AA20-42E7-A9C5-AD48ADEF9467}
    {E5E20B70-E83E-42D1-9F8E-A1381F6932C5}
    {07053A3B-C843-4B4D-B800-4BDA1FB8CABC}
    {B03CEA26-93E0-40A1-84B7-3654FECD7ADD}
    {B07E2F61-E3FB-4F01-9808-B5041B200162}
    {8ACB010C-D06A-455A-B6AA-EB221008225F}
    {46AB905F-3177-4D36-981B-B6EDD0BE212C}
    {A9B5A2ED-2F0B-479A-9C56-66256FB171E3}
    {A9686F0F-D435-4D6C-8DF4-0F062522B536}
    {63243027-DF28-4F98-9A1F-344C64035B17}
    {EE2DDA3C-58D1-48A8-BCE3-0AF49318A496}
    {E7105F9E-2FE6-484B-93BB-54C16277F39B}
    {019EAFD6-9F0B-4C8E-8376-DBBD7DB4CD90}
    {DA85ADE6-C76D-4AFE-AD6E-939536AF525D}
    {10E61CAB-4F3C-49E0-879D-19F663162D2F}

    <46AB905F>
    <2A74E6FE>
    <B07E2F61>
    <8ACB010C>
    <A9B5A2ED>
    <A9686F0F>
    <63243027>
    <EE2DDA3C>
    <E7105F9E>
    <019EAFD6>
    <DA85ADE6>
    <10E61CAB>
    <E5E20B70>
    <07053A3B>
    <B03CEA26>
    <C:\WINDOWS\Fonts\blhenbbu.dll>

注意该项[AppInit_DLLs]修改：把<bgjceaim.dll,daoladem.dll,gngljajb.dll,ghpeafdm.dll,enhglfpe.dll,eeiddajc.dll,mjikjgin.dll,hgemhcab.dll,apblaied.dll,oacbghgc.dll,iankemfe.dll,kmabpglf.dll,eleigbng.dll,apmomfgf.dll,bgneifmh.dll> 修改为<>即清空

  启动项目 －－ 服务--服务之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


  [wtqgzh / wtqgzh]  <C:\WINDOWS\system32\svchost.exe -k wtqgzh-->%SystemRoot%\System32\gjuadf.dll><N/A>

  启动项目 －－ 服务--驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[acpidisk / acpidisk] <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[aliimz / aliimz]    <System32\Drivers\aliimz.sys>


[NsPsDk00 / NsPsDk00]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>
[NsPsDk03 / NsPsDk03]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>

[NsDlRK250 / NsDlRK250]  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>

[hujrpd / hujrpd]  <\SystemRoot\system32\drivers\vhwtzzp.sys><N/A>

[pnpmem / pnpmem]  <\??\C:\WINDOWS\system32\drivers\pnpmem.sys><N/A>


系统修复--浏览器加载项之如下项删除：
找clsid项中的
  {5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\WINDOWS\system32\ar12A403dll.dll, N/A>

{218FAED2-CAD1-47E9-B7CC-D4885854F8C1} <C:\Program Files\Internet Explorer\BoboNt.jsp, N/A>

{CF665CAF-91F2-4079-AAFB-7DB8F9F63120} <C:\Program Files\Internet Explorer\BoboNet.jsp, N/A>

{218FAED2-CAD1-47E9-B7CC-D4885854F8C1} <C:\Program Files\Internet Explorer\BoboNt.jsp, N/A>

{5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\WINDOWS\system32\ar12A403dll.dll, N/A>

{CF665CAF-91F2-4079-AAFB-7DB8F9F63120} <C:\Program Files\Internet Explorer\BoboNet.jsp, N/A>


3 全盘查找usp10.dll 把除了下面3个位置外找到的usp10.dll删除
C:\WINDOWS\System32\usp10.dll
C:\WINDOWS\System32\dllcache\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\usp10.dll

4 用SmtRpl替换文件工具替换下面几个文件
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\System32\COMRes.dll

5用映像劫持修复工具修复.

6重装瑞星和QQ..QQ是一定要重装的..连网后瑞星升级到最新全盘杀毒.

7清理助手下载 http://www.arswp.com/download.html
安装后，升级清理助手，全盘扫描
清理系统

完成后请发新的日志..一般第一次操作多少会有点遗漏...需要确认一下..

看来今晚还要放他一马。xdelbox杀不干净，难道病毒具有自适应的变身能力？好在病毒浓度降低，毒霸专杀工具可以运行，但最终还是被病毒终止

那上面的操作，全部得在断网状态下操作才行

上传新的sreng扫描日记。病毒基本杀除，IFEO映像劫持还没搞定，177项，使用了下载的管理、清除工具。但终于开始恢复阶段了，50%工作量？替换、重新安装，亡羊补牢，真是麻烦！

谢谢帮助

附件: SREngLOG-delvirus.log (2009-2-18 23:18:41, 71.71 K)
该附件被下载次数 75

IFEO映像劫持  先搞定了在说。。
看的头晕。。

俺更晕，用了N多遍的结果还是收拾不好。检查到177项，全部清除。再检查，仍然又是177项！又是修复工具、又是管理工具，都一样没解决

清除的效果不错...好像有2个漏了出来..楼主再接再厉..映像劫持这个不要紧的..删了病毒再处理就好..

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)原创软件里面 http://www.dodudou.com/down/index.php
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\drivers\vhwtzzp.sys
C:\WINDOWS\system32\drivers\bgufw.sys
C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll
C:\WINDOWS\system32\appwinproc.dll


启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[bguf / gqzzinj]
[hujrpd / hujrpd]
[NsDlRK250 / NsDlRK250]
[NsPsDk00 / NsPsDk00]
[NsPsDk01 / NsPsDk01]
[NsPsDk02 / NsPsDk02]
[NsPsDk03 / NsPsDk03]
[NsPsDk04 / NsPsDk04]

后面的步骤一样
3 全盘查找usp10.dll 把除了下面3个位置外找到的usp10.dll删除
C:\WINDOWS\System32\usp10.dll
C:\WINDOWS\System32\dllcache\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\usp10.dll

4 用SmtRpl替换文件工具替换下面几个文件
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\System32\COMRes.dll

5用映像劫持修复工具修复.

6重装瑞星和QQ..QQ是一定要重装的..连网后瑞星升级到最新全盘杀毒.

7清理助手下载 http://www.arswp.com/download.html
安装后，升级清理助手，全盘扫描
清理系统

完成后请发新的日志..一般第一次操作多少会有点遗漏...需要确认一下..

附件: SREngLOG-finshed.log (2009-2-19 0:23:05, 34.11 K)
该附件被下载次数 82

另外一个IFEO恢复工具，供参考

附件: 1183973292980.rar (2009-2-19 0:23:05, 71.07 K)
该附件被下载次数 113

好像nspassx.sys又出来了。还得消灭它！