瑞星付了年费,装了不管用...
大侠帮帮忙看看日志给点意见吧,我真的没办法了,我想撤底跟它说再见....


----------------------------------------------------------------
根据下面几位朋友的帮忙,我用我能理解的范围进行了一次操作,后来进不了系统.
我就直接进PE还原了GHOST,现在目前暂时未出现问题,但前两天也是这样的情况,后来又无端端中了,超郁闷.
所以再麻烦一下你们,帮我看一下这个GHOST后的SReng日志,看看有没有问题?

并且想问一下,如何避免再次中招?主要是我怕系统C盘以外的地方还留有病毒的变种文件或残余文件,万一以后进行了什么操作,在不知道的情况下再中,那我就要死了.

最后再次感谢你们的热心帮忙!!还我们一片净土

附件: SREngLOG2.log (2009-1-28 17:41:12, 25.59 K)
该附件被下载次数 234

!!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0; CIBA)

一、用Wsyscheck搜索非系统盘的usp10.dll删除。QQ目录下如果有psapi.dll也删除了。
可参考置顶帖，看懂后操作http://bbs.ikaka.com/showtopic-8589597.aspx
二、清理系统中的木马
1.建议使用XDelBox删除以下文件：(XDelBox1.8下载),系统盘非C盘的或是vista系统的建议下载费尔木马强力清除助手删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作（重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files）。运行xdelbox前最好卸载所有可移动存储设备。

c:\windows\fonts\comres.dll
c:\windows\system32\hdapcicl.dll
c:\windows\system32\cfpacjdi.dll
c:\windows\system32\ldabbfle.dll
c:\windows\system32\obgifgoa.dll
c:\windows\system32\ifkkhkkl.dll
c:\windows\system32\befeikpo.dll
c:\windows\system32\iljemkjk.dll
c:\windows\system32\jchnpcbd.dll
c:\windows\system32\cbebcaaj.dll
c:\docume~1\admini~1\locals~1\temp\jwlarmazggks
c:\windows\system32\b9b42e74.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\ComRes.dll>修改为<>即清空
[{1DA9C2C5-C625-49A2-8DEF-7FACA1E37F0A}]    <C:\WINDOWS\system32\hdapcicl.dll>
[{CF9AC3D2-609B-4CD4-9CF9-EFE1F217063B}]    <C:\WINDOWS\system32\cfpacjdi.dll>
[{5DABBF5E-791B-4B38-A17E-D2DEF03DA293}]    <C:\WINDOWS\system32\ldabbfle.dll>
[{8B02F08A-8F94-481A-BCAE-F78B85ED12C3}]    <C:\WINDOWS\system32\obgifgoa.dll>
[{2F441445-E02F-4EB0-912C-965D626A6708}]    <C:\WINDOWS\system32\ifkkhkkl.dll>
[{BEFE2498-1A70-4C80-A646-C130F0A297DE}]    <C:\WINDOWS\system32\befeikpo.dll>
[{253E6434-C501-4E72-A7DA-3C6F016C8FC1}]    <C:\WINDOWS\system32\iljemkjk.dll>
[{3C179CBD-EF43-4D70-B69B-D5B77D97BA4D}]    <C:\WINDOWS\system32\jchnpcbd.dll>
[{CBEBCAA3-4B11-4AEB-BC7C-ABA62AA4487C}]    <C:\WINDOWS\system32\cbebcaaj.dll>
[1DA9C2C5]    <C:\WINDOWS\system32\hdapcicl.dll>
[CF9AC3D2]    <C:\WINDOWS\system32\cfpacjdi.dll>
[5DABBF5E]    <C:\WINDOWS\system32\ldabbfle.dll>
[8B02F08A]    <C:\WINDOWS\system32\obgifgoa.dll>
[2F441445]    <C:\WINDOWS\system32\ifkkhkkl.dll>
[BEFE2498]    <C:\WINDOWS\system32\befeikpo.dll>
[253E6434]    <C:\WINDOWS\system32\iljemkjk.dll>
[3C179CBD]    <C:\WINDOWS\system32\jchnpcbd.dll>
[CBEBCAA3]    <C:\WINDOWS\system32\cbebcaaj.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[hsakyyipwmlq / hsakyyipwmlq]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jwlarmazggks>
[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\B9B42E74.dat>


关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹     
http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

下载windows清理助手清理恶意软件（更新后使用）
http://www.arswp.com/download.html

下载绿色版大蜘蛛：ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe（更新后使用）

日志异常内容如下：
================================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><C:\WINDOWS\fonts\ComRes.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Publisher]
    <{1DA9C2C5-C625-49A2-8DEF-7FACA1E37F0A}><C:\WINDOWS\system32\hdapcicl.dll>  [File is missing]
    <{CF9AC3D2-609B-4CD4-9CF9-EFE1F217063B}><C:\WINDOWS\system32\cfpacjdi.dll>  [File is missing]
    <{5DABBF5E-791B-4B38-A17E-D2DEF03DA293}><C:\WINDOWS\system32\ldabbfle.dll>  [File is missing]
    <{8B02F08A-8F94-481A-BCAE-F78B85ED12C3}><C:\WINDOWS\system32\obgifgoa.dll>  [File is missing]
    <{2F441445-E02F-4EB0-912C-965D626A6708}><C:\WINDOWS\system32\ifkkhkkl.dll>  [File is missing]
    <{BEFE2498-1A70-4C80-A646-C130F0A297DE}><C:\WINDOWS\system32\befeikpo.dll>  [File is missing]
    <{253E6434-C501-4E72-A7DA-3C6F016C8FC1}><C:\WINDOWS\system32\iljemkjk.dll>  [File is missing]
    <{3C179CBD-EF43-4D70-B69B-D5B77D97BA4D}><C:\WINDOWS\system32\jchnpcbd.dll>  [File is missing]
    <{CBEBCAA3-4B11-4AEB-BC7C-ABA62AA4487C}><C:\WINDOWS\system32\cbebcaaj.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <1DA9C2C5><C:\WINDOWS\system32\hdapcicl.dll>  [File is missing]
    <CF9AC3D2><C:\WINDOWS\system32\cfpacjdi.dll>  [File is missing]
    <5DABBF5E><C:\WINDOWS\system32\ldabbfle.dll>  [File is missing]
    <8B02F08A><C:\WINDOWS\system32\obgifgoa.dll>  [File is missing]
    <2F441445><C:\WINDOWS\system32\ifkkhkkl.dll>  [File is missing]
    <BEFE2498><C:\WINDOWS\system32\befeikpo.dll>  [File is missing]
    <253E6434><C:\WINDOWS\system32\iljemkjk.dll>  [File is missing]
    <3C179CBD><C:\WINDOWS\system32\jchnpcbd.dll>  [File is missing]
    <CBEBCAA3><C:\WINDOWS\system32\cbebcaaj.dll>  [File is missing]
==================================
驱动程序
[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\B9B42E74.dat><N/A>
[hsakyyipwmlq / hsakyyipwmlq][Running/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jwlarmazggks><N/A>
==================================
病毒文件：
C:\WINDOWS\fonts\ComRes.dll
C:\WINDOWS\system32\hdapcicl.dll
C:\WINDOWS\system32\cfpacjdi.dll
C:\WINDOWS\system32\ldabbfle.dll
C:\WINDOWS\system32\obgifgoa.dll
C:\WINDOWS\system32\ifkkhkkl.dll
C:\WINDOWS\system32\befeikpo.dll
C:\WINDOWS\system32\iljemkjk.dll
C:\WINDOWS\system32\jchnpcbd.dll
C:\WINDOWS\system32\cbebcaaj.dll
C:\WINDOWS\system32\B9B42E74.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jwlarmazggks
=================================
建议手工处理，用ICESWORD1.22。

建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备


C:\WINDOWS\fonts\ComRes.dll
C:\WINDOWS\system32\cfpacjdi.dll
C:\WINDOWS\system32\ldabbfle.dll
C:\WINDOWS\system32\obgifgoa.dll
C:\WINDOWS\system32\ifkkhkkl.dll
C:\WINDOWS\system32\befeikpo.dll
C:\WINDOWS\system32\iljemkjk.dll
C:\WINDOWS\system32\jchnpcbd.dll
C:\WINDOWS\system32\cbebcaaj.dll
C:\WINDOWS\system32\hdapcicl.dll
C:\WINDOWS\system32\cfpacjdi.dll
C:\WINDOWS\system32\ldabbfle.dll
C:\WINDOWS\system32\obgifgoa.dll
C:\WINDOWS\system32\ifkkhkkl.dll
C:\WINDOWS\system32\befeikpo.dll
C:\WINDOWS\system32\iljemkjk.dll
C:\WINDOWS\system32\jchnpcbd.dll
D:\soft\tt\bin\USP10.dll
C:\WINDOWS\system32\B9B42E74.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jwlarmazggks



删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：

<{1DA9C2C5-C625-49A2-8DEF-7FACA1E37F0A}><C:\WINDOWS\system32\hdapcicl.dll>  [File is missing]
    <{CF9AC3D2-609B-4CD4-9CF9-EFE1F217063B}><C:\WINDOWS\system32\cfpacjdi.dll>  [File is missing]
    <{5DABBF5E-791B-4B38-A17E-D2DEF03DA293}><C:\WINDOWS\system32\ldabbfle.dll>  [File is missing]
    <{8B02F08A-8F94-481A-BCAE-F78B85ED12C3}><C:\WINDOWS\system32\obgifgoa.dll>  [File is missing]
    <{2F441445-E02F-4EB0-912C-965D626A6708}><C:\WINDOWS\system32\ifkkhkkl.dll>  [File is missing]
    <{BEFE2498-1A70-4C80-A646-C130F0A297DE}><C:\WINDOWS\system32\befeikpo.dll>  [File is missing]
    <{253E6434-C501-4E72-A7DA-3C6F016C8FC1}><C:\WINDOWS\system32\iljemkjk.dll>  [File is missing]
    <{3C179CBD-EF43-4D70-B69B-D5B77D97BA4D}><C:\WINDOWS\system32\jchnpcbd.dll>  [File is missing]
    <{CBEBCAA3-4B11-4AEB-BC7C-ABA62AA4487C}><C:\WINDOWS\system32\cbebcaaj.dll>  [File is missing]
    <1DA9C2C5><C:\WINDOWS\system32\hdapcicl.dll>  [File is missing]
    <CF9AC3D2><C:\WINDOWS\system32\cfpacjdi.dll>  [File is missing]
    <5DABBF5E><C:\WINDOWS\system32\ldabbfle.dll>  [File is missing]
    <8B02F08A><C:\WINDOWS\system32\obgifgoa.dll>  [File is missing]
    <2F441445><C:\WINDOWS\system32\ifkkhkkl.dll>  [File is missing]
    <BEFE2498><C:\WINDOWS\system32\befeikpo.dll>  [File is missing]
    <253E6434><C:\WINDOWS\system32\iljemkjk.dll>  [File is missing]
    <3C179CBD><C:\WINDOWS\system32\jchnpcbd.dll>  [File is missing]
    <CBEBCAA3><C:\WINDOWS\system32\cbebcaaj.dll>  [File is missing]

注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\ComRes.dll>修改为<>即清空

启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

Safe Mon 360 / SafeMon0

[hsakyyipwmlq / hsakyyipwmlq



搜索系统目录外的其他各软件程序同目录内的usp10.dll以及QQ目录内的psapi.dll文件（包含系统与隐藏属性）

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

实在是太感谢楼上几位朋友的热心帮忙,使我得以脱离苦海,但想问一下现在还需要注意一下什么,以防再次中埋伏在机器里的残余病毒?

病毒都是上网引起的，只要你实时打开杀毒软件的监控，平时上网注意些就好了

现在的日志没见异常··你删除了什么文件啊。进不了系统具体怎么回事的。能描述清楚吗

我以后肯定要注意点的,谢谢!

c:\windows\fonts\comres.dll
c:\windows\system32\hdapcicl.dll
c:\windows\system32\cfpacjdi.dll
c:\windows\system32\ldabbfle.dll
c:\windows\system32\obgifgoa.dll
c:\windows\system32\ifkkhkkl.dll
c:\windows\system32\befeikpo.dll
c:\windows\system32\iljemkjk.dll
c:\windows\system32\jchnpcbd.dll
c:\windows\system32\cbebcaaj.dll
c:\docume~1\admini~1\locals~1\temp\jwlarmazggks
c:\windows\system32\b9b42e74.dat
就删了上面这些,不过在删掉之前,我都用了不少"相关"清理过或删过,我怀疑我也有可能删错系统文件之类的,所以才进不了系统..重启进系统之后就篮屏了.

我现在唯一担心的就是系统里还有没有这只病毒的残余变种文件,怕以后一不小心会再次中上..

这些都是病毒文件。那你指的相关清理是什么······