12   1  /  2  页   跳转

种了Trojan.PSW.Win32.GameOL

种了Trojan.PSW.Win32.GameOL

55555

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLOG.log
下载次数:186
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-3 8:36:54
描述:log

分享到:
gototop
 

回复:种了Trojan.PSW.Win32.GameOL

详细病毒文件名和路径

看了日志,不用说了

你愿意重装系统,或还原系统吗???
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:种了Trojan.PSW.Win32.GameOL

请将这个文件压缩发来,急等看。千万别删它。

C:\WINDOWS\system32\cdfview.dll
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:种了Trojan.PSW.Win32.GameOL

记住,这次新病毒怪怪的,难以把握,你考虑好了是否依此操作。
做好准备:

Xdelbox工具 下载:http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的
清理临时文件工具ATF-Cleaner-cn 下载:http://www.qispace.com.cn/attachment.php?fid=34
W i n d o w s 清理助手 下载:http://www.arswp.com/

你只有用Xdelbox这个工具去删除这些文件:

将你下载的Xdelbox工具的压缩包一定要解压出来运行,不要懒。
运行xdelbox前请拔掉插在电脑上的所有移动硬盘、U盘、MP3等。
将下面的文件信息全部复制,然后打开Xdelbox,(打开后,不要好奇点这Xdelbox玩)直接在下面大窗口的空白处,使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\wfrdvq.dll
C:\WINDOWS\system32\sqavpw0.dll
C:\WINDOWS\system32\mxavpw2.dll
C:\WINDOWS\system32\ttNNBNNB1056.dll
C:\WINDOWS\system32\ttHADHAD1071.dll
C:\WINDOWS\system32\mxavpw0.dll
C:\WINDOWS\system32\ttDXYDXY1014.dll]
C:\Program Files\215.exe
C:\Program Files\220.exe
C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys
C:\WINDOWS\system32\msosdohs02.dll
C:\WINDOWS\TEMP\dat8.tmp
C:\WINDOWS\system32\msosdohs00.dll
C:\WINDOWS\TEMP\datC.tmp
C:\WINDOWS\system32\msosdohs01.dll
C:\WINDOWS\dndsioc.exe
C:\WINDOWS\mfchlp64.exe
C:\WINDOWS\yuiabct.exe
C:\WINDOWS\fiosectc.exe
C:\WINDOWS\fmsjhif.exe
C:\WINDOWS\fmsbbqi.exe
C:\WINDOWS\TEMP\tmp7.tmp
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\System32\drivers\nalhjdli.sys
C:\WINDOWS\TEMP\tmpE.tmp

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式
进入系统后,再做下面的:

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <dndsioc><C:\WINDOWS\dndsioc.exe>  [N/A]
    <mfchlp64><C:\WINDOWS\mfchlp64.exe>  []
    <yuiabct><C:\WINDOWS\yuiabct.exe>  []
    <fiosectc><C:\WINDOWS\fiosectc.exe>  []
    <fmsjhif><C:\WINDOWS\fmsjhif.exe>  []
    <fmsbbqi><C:\WINDOWS\fmsbbqi.exe>  []
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [N/A]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll>  []
    <{6BBAA1E6-CF54-4139-AB9C-8491A9F909D7}><C:\WINDOWS\system32\wfrdvq.dll>  []
    <{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}><C:\WINDOWS\system32\zgxfdx.dll>  [N/A]
    <{7FA4A83B-F99A-4bfc-A8E2-6A62B05D2C82}><C:\WINDOWS\TEMP\datC.tmp>  []
    <{3cc67dc4-e953-4b2f-ae22-fcb4dcc3903a}><ttNNBNNB1056.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  [N/A]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{a580305f-b902-4723-ac26-06e4cb4279a5}><ttHADHAD1071.dll>  []
    <{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll>  [N/A]
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  []
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [N/A]
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  []
    <{5E907A48-400E-4EA8-9792-FFAE052D59E9}><C:\WINDOWS\system32\pedadt.dll>  [N/A]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll>  []
    <{C36ECF8F-EAD9-44BD-8DD0-C4240A06F51C}><C:\WINDOWS\system32\sqavpw0.dll>  []
    <{875E07B1-0614-43D9-A76E-D76A28AB3D7B}><C:\WINDOWS\system32\tfsdmz.dll>  [N/A]
    <{3E387664-C799-4D62-B196-25776EF35C51}><C:\WINDOWS\system32\mxavpw2.dll>  []
    <{5fd0c12b-da0b-4446-82fd-b8041a46492b}><ttDXYDXY1014.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmp7.tmp><N/A>

[msfpfis64 / msfpfis64][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>

[nalhjdli / nalhjdli][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\nalhjdli.sys><N/A>

[ping / ping][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmpE.tmp><N/A>
————————————————————————————————————————
下面这个显示的是平时没见过的现象,这次已经有求助的在删除cdfview.dll文件后,不能进系统了。
所以难以判断这个异常,你先做别的事,这个等新日志再看。
==================================
正在运行的进程
[PID: 616 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\cdfview.dll]  [N/A, ]
————————————————————————————————————
再重启电脑,反复检查,操作删除,

————————————————————————————————————
再重启电脑,

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://www.qispace.com.cn/attachment.php?fid=34

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手,清理你那系统。
记得打打系统漏洞补丁

记得去卸载Yahoo!
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:种了Trojan.PSW.Win32.GameOL

唉~~还原算了(还原行吗?)
文件要吗?
gototop
 

回复: 种了Trojan.PSW.Win32.GameOL



引用:
原帖由 天月来了 于 2008-5-3 10:26:00 发表
请将这个文件压缩发来,急等看。千万别删它。

C:\WINDOWS\system32\cdfview.dll

附件附件:

文件名:cdfview.rar
下载次数:259
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-3 12:22:58
描述:rar

gototop
 

回复:种了Trojan.PSW.Win32.GameOL

原来用邮箱登陆的- -U  交不得我密码不对
gototop
 

回复:种了Trojan.PSW.Win32.GameOL

这个C:\WINDOWS\system32\cdfview.dll 文件确实已不是系统的了。

想让你尝试将正常系统里的cdfview.dll 文件复制个到你那系统C:\WINDOWS\system32文件夹里替换,又怕系统重启进不了。



其他的按照我的操作,可能还是有风险的。

愿意还原,就试试还原系统吧。

你愿意再去去C:\WINDOWS\system32\dllcache文件夹里找另一个cdfview.dll 文件压缩发来吗???
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 种了Trojan.PSW.Win32.GameOL



引用:
原帖由 天月来了 于 2008-5-3 14:34:00 发表
这个C:\WINDOWS\system32\cdfview.dll 文件确实已不是系统的了。

想让你尝试将正常系统里的cdfview.dll 文件复制个到你那系统C:\WINDOWS\system32文件夹里替换,又怕系统重启进不了。



其他的按照我的操作,可能还是有风险的。

愿意还原,就试试还原系统吧。

你愿意再去去C:\WINDOWS\system32\dllc



看看有没有问题~

附件附件:

文件名:cdfview.rar
下载次数:223
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-3 14:53:49
描述:rar

gototop
 

回复: 种了Trojan.PSW.Win32.GameOL



引用:
原帖由 天月来了 于 2008-5-3 10:21:00 发表
详细病毒文件名和路径

看了日志,不用说了

你愿意重装系统,或还原系统吗???






这个是还原后---杀毒后的日志 洞还没打好 还有20左右....- -U

附件附件:

文件名:SREngLOG.log
下载次数:151
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-3 15:00:46
描述:log

gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT