1   1  /  1  页   跳转

[求助] 删不干净的木马

删不干净的木马

不知道怎么回事  用了 瑞星 清理助手  大蜘蛛 和其他各种专杀工具都全盘扫过  就是杀不干净  差不多每天都要杀次毒

附件: SREngLOG4.log (2009-1-17 18:11:08, 76.67 K)
该附件被下载次数 180


高手帮帮忙 来次彻底点的清理  不然我只能全盘格了  谢谢了

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)
分享到:
gototop
 

回复: 删不干净的木马

  删除以下文件
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

  <{E12CBBEF-3D54-4FB9-AFA8-2261C38D2FB7}><C:\WINDOWS\system32\ehicbbef.dll>  []
    <{DAF35F4E-401C-463A-B716-1373F4D4CCD2}><C:\WINDOWS\system32\dafjlfke.dll>  []
    <{664836B6-CC8F-4EF7-AEAB-E85099FFCFF8}><C:\WINDOWS\system32\mmkojmbm.dll>  []
    <{7B772479-D5BD-41B7-9DEA-C1DBE97DA822}><C:\WINDOWS\system32\nbnniknp.dll>  []
    <{C9E3C6E9-1BE3-4BD3-9CEA-919D241B68F5}><C:\WINDOWS\system32\cpejcmep.dll>  []
    <{00F35755-D192-4788-9788-84028343F9D8}><C:\WINDOWS\system32\ggfjlnll.dll>  []
    <{0005DE70-1C26-471D-88C2-AE8CA1F02640}><C:\WINDOWS\system32\gggldeng.dll>  []
    <{0E18EE3E-1EC5-48A7-BEE8-09AF7A7FA76B}><C:\WINDOWS\system32\gehoeeje.dll>  []
    <{54D28814-5225-4C7B-BF59-44298CD015E5}><C:\WINDOWS\system32\lkdioohk.dll>  []
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<ThunderAdvise><>  [N/A]
    <msnmsg><C:\Program Files\Messenger\msgmr.dll>  [File is missing]
    <E12CBBEF><C:\WINDOWS\system32\ehicbbef.dll>  []
    <DAF35F4E><C:\WINDOWS\system32\dafjlfke.dll>  []
    <664836B6><C:\WINDOWS\system32\mmkojmbm.dll>  []
    <7B772479><C:\WINDOWS\system32\nbnniknp.dll>  []
    <C9E3C6E9><C:\WINDOWS\system32\cpejcmep.dll>  []
    <00F35755><C:\WINDOWS\system32\ggfjlnll.dll>  []
    <0005DE70><C:\WINDOWS\system32\gggldeng.dll>  []
    <0E18EE3E><C:\WINDOWS\system32\gehoeeje.dll>  []
<54D28814><C:\WINDOWS\system32\lkdioohk.dll>  []



[C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\ehicbbef.dll]  [N/A, ]
    [C:\WINDOWS\system32\dafjlfke.dll]  [N/A, ]
    [C:\WINDOWS\system32\mmkojmbm.dll]  [N/A, ]
    [C:\WINDOWS\system32\nbnniknp.dll]  [N/A, ]
    [C:\WINDOWS\system32\cpejcmep.dll]  [N/A, ]
    [C:\WINDOWS\system32\ggfjlnll.dll]  [N/A, ]

    [C:\WINDOWS\system32\gggldeng.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\gehoeeje.dll]  [N/A, ]
    [C:\WINDOWS\system32\lkdioohk.dll]  [N/A, ]



金山系统急救可以清除这个HBQQ蝗虫
你要不找个PE引导盘试试
最后编辑夲號ヱ被ジ盜 最后编辑于 2009-01-17 18:15:00
gototop
 

回复:删不干净的木马

开机按F8 进入安全模式  然后删除下列加载
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

  <{E12CBBEF-3D54-4FB9-AFA8-2261C38D2FB7}><C:\WINDOWS\system32\ehicbbef.dll>  []
    <{DAF35F4E-401C-463A-B716-1373F4D4CCD2}><C:\WINDOWS\system32\dafjlfke.dll>  []
    <{664836B6-CC8F-4EF7-AEAB-E85099FFCFF8}><C:\WINDOWS\system32\mmkojmbm.dll>  []
    <{7B772479-D5BD-41B7-9DEA-C1DBE97DA822}><C:\WINDOWS\system32\nbnniknp.dll>  []
    <{C9E3C6E9-1BE3-4BD3-9CEA-919D241B68F5}><C:\WINDOWS\system32\cpejcmep.dll>  []
    <{00F35755-D192-4788-9788-84028343F9D8}><C:\WINDOWS\system32\ggfjlnll.dll>  []
    <{0005DE70-1C26-471D-88C2-AE8CA1F02640}><C:\WINDOWS\system32\gggldeng.dll>  []
    <{0E18EE3E-1EC5-48A7-BEE8-09AF7A7FA76B}><C:\WINDOWS\system32\gehoeeje.dll>  []
    <{54D28814-5225-4C7B-BF59-44298CD015E5}><C:\WINDOWS\system32\lkdioohk.dll>  []
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<ThunderAdvise><>  [N/A]
    <msnmsg><C:\Program Files\Messenger\msgmr.dll>  [File is missing]
    <E12CBBEF><C:\WINDOWS\system32\ehicbbef.dll>  []
    <DAF35F4E><C:\WINDOWS\system32\dafjlfke.dll>  []
    <664836B6><C:\WINDOWS\system32\mmkojmbm.dll>  []
    <7B772479><C:\WINDOWS\system32\nbnniknp.dll>  []
    <C9E3C6E9><C:\WINDOWS\system32\cpejcmep.dll>  []
    <00F35755><C:\WINDOWS\system32\ggfjlnll.dll>  []
    <0005DE70><C:\WINDOWS\system32\gggldeng.dll>  []
    <0E18EE3E><C:\WINDOWS\system32\gehoeeje.dll>  []
<54D28814><C:\WINDOWS\system32\lkdioohk.dll>  []



[C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\ehicbbef.dll]  [N/A, ]
    [C:\WINDOWS\system32\dafjlfke.dll]  [N/A, ]
    [C:\WINDOWS\system32\mmkojmbm.dll]  [N/A, ]
    [C:\WINDOWS\system32\nbnniknp.dll]  [N/A, ]
    [C:\WINDOWS\system32\cpejcmep.dll]  [N/A, ]
    [C:\WINDOWS\system32\ggfjlnll.dll]  [N/A, ]

    [C:\WINDOWS\system32\gggldeng.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\gehoeeje.dll]  [N/A, ]
    [C:\WINDOWS\system32\lkdioohk.dll]  [N/A, ]
服务
[VMservices / VMservices][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -K  VMservices-->%sYSTEMrOOT%\sYSTEM32\owvflt.dll><N/A>

驱动程序
[yntegiwi / yntegiwi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\owvflt.sys><Microsoft Corporation>

浏览器加载项
[oknvgy.kok]
  {FD719292-E8FA-4DCF-BC4C-07D8C0B0D81E} <C:\WINDOWS\system32\uquzfh.dll, N/A>
[oknvgy.kok]
  {FD719292-E8FA-4DCF-BC4C-07D8C0B0D81E} <C:\WINDOWS\system32\uquzfh.dll, N/A>
gototop
 

回复:删不干净的木马

问题是删了过了一段时间又会重新出现这些乱七八糟的DLL文件 和那个 SYSTEM.EXE  到底根本原因在哪里不知道啊
gototop
 

回复: 删不干净的木马

建议使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入,在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备)
c:\docume~1\jayxujie\locals~1\temp\rarsfx2\setup.exe
c:\windows\system32\cpejcmep.dll
c:\windows\system32\dafjlfke.dll
c:\windows\system32\ehicbbef.dll
c:\windows\system32\gehoeeje.dll
c:\windows\system32\ggfjlnll.dll
c:\windows\system32\gggldeng.dll
c:\windows\system32\hbchibi.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\lkdioohk.dll
c:\windows\system32\mmkojmbm.dll
c:\windows\system32\nbnniknp.dll
c:\windows\fonts\framdee.ttf
C:\windows\system32\drivers\etc\C22vH8l4.dll
C:\Windows\sYSTEM32\owvflt.dll
c:\windows\system32\winfdphost.dll
C:\WINDOWS\system32\uquzfh.dll
C:\Windows\system32\System.exe

删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:

<HBService32><System.exe>  [HB Software]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{E12CBBEF-3D54-4FB9-AFA8-2261C38D2FB7}><C:\WINDOWS\system32\ehicbbef.dll>  []
    <{DAF35F4E-401C-463A-B716-1373F4D4CCD2}><C:\WINDOWS\system32\dafjlfke.dll>  []
    <{664836B6-CC8F-4EF7-AEAB-E85099FFCFF8}><C:\WINDOWS\system32\mmkojmbm.dll>  []
    <{7B772479-D5BD-41B7-9DEA-C1DBE97DA822}><C:\WINDOWS\system32\nbnniknp.dll>  []
    <{C9E3C6E9-1BE3-4BD3-9CEA-919D241B68F5}><C:\WINDOWS\system32\cpejcmep.dll>  []
    <{00F35755-D192-4788-9788-84028343F9D8}><C:\WINDOWS\system32\ggfjlnll.dll>  []
    <{0005DE70-1C26-471D-88C2-AE8CA1F02640}><C:\WINDOWS\system32\gggldeng.dll>  []
    <{0E18EE3E-1EC5-48A7-BEE8-09AF7A7FA76B}><C:\WINDOWS\system32\gehoeeje.dll>  []
    <{54D28814-5225-4C7B-BF59-44298CD015E5}><C:\WINDOWS\system32\lkdioohk.dll>  []

    <ThunderAdvise><>  [N/A]
    <msnmsg><C:\Program Files\Messenger\msgmr.dll>  [File is missing]
    <E12CBBEF><C:\WINDOWS\system32\ehicbbef.dll>  []
    <DAF35F4E><C:\WINDOWS\system32\dafjlfke.dll>  []
    <664836B6><C:\WINDOWS\system32\mmkojmbm.dll>  []
    <7B772479><C:\WINDOWS\system32\nbnniknp.dll>  []
    <C9E3C6E9><C:\WINDOWS\system32\cpejcmep.dll>  []
    <00F35755><C:\WINDOWS\system32\ggfjlnll.dll>  []
    <0005DE70><C:\WINDOWS\system32\gggldeng.dll>  []
    <0E18EE3E><C:\WINDOWS\system32\gehoeeje.dll>  []
    <54D28814><C:\WINDOWS\system32\lkdioohk.dll>  []

<AppInit_DLLs><dafjlfke.dll,ehicbbef.dll,lkdioohk.dll,gehoeeje.dll,gggldeng.dll,cpejcmep.dll,nbnniknp.dll,mmkojmbm.dll,> 改为<AppInit_DLLs><>

启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):
[DNS networsk Browser / DNS networsk computer Browse][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\drivers\etc\C22vH8l4.dll><N/A>
[VMservices / VMservices][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -K  VMservices-->%sYSTEMrOOT%\sYSTEM32\owvflt.dll><N/A>
[Windows Function Discovery Provider Host / WinfdPHost][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k WinfdPHost-->c:\windows\system32
\winfdphost.dll><N/A>

[yntegiwi / yntegiwi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\owvflt.sys><Microsoft Corporation>


win32服务删除如下项;


[yntegiwi / yntegiwi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\owvflt.sys><Microsoft Corporation>


系统修复——浏览器加载项之如下项删除

[oknvgy.kok]
  {FD719292-E8FA-4DCF-BC4C-07D8C0B0D81E} <C:\WINDOWS\system32\uquzfh.dll, N/A> (2处)


用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
gototop
 

回复 3F pigboy 的帖子

治标不治本

没有删除病毒文件
gototop
 

回复: 删不干净的木马



引用:
原帖由 backway 于 2009-1-17 18:57:00 发表
治标不治本

没有删除病毒文件


受教  多谢指点
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT