``````不知道是不是上次杀毒杀不干净``还是什么的``
现在电脑又中了 `拿瑞星杀过`没法清理```掉`
还原了下系统```
过了一会又来了```

帮帮忙啊``
小弟乃菜鸟一只```不懂怎么找虫(病毒) 各位老鸟``传授经验啊``
谢谢各位了````
扫描了日志````

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

中木马群了 请按置顶帖子操作

下面所有步骤必须断网执行，工具先下载好

C:\windows\system32\anymie360.dll
C:\windows\system32\COMRes.dll
C:\windows\fonts\ComRes.dll
C:\windows\system32\anymie360.exe
C:\Program Files\Internet Explorer\PowerDn.Rel
C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat
C:\windows\system32\nepimeda.dll
C:\windows\system32\ghomeklf.dll
C:\windows\system32\cbpeoecm.dll
C:\windows\system32\eihgcnog.dll
C:\windows\system32\empcpngg.dll
C:\windows\system32\pioighbc.dll
C:\windows\system32\gfeanapd.dll
C:\windows\system32\kihcccom.dll
C:\windows\system32\illdllhd.dll
C:\windows\system32\kndchbmn.dll
C:\windows\system32\eppcncek.dll
C:\windows\system32\anymie360.dll
C:\windows\system32\idlhfigk.dll
C:\windows\system32\ddjdmfkf.dll
C:\windows\system32\jdadibcc.dll
C:\windows\system32\mmognfdj.dll
C:\windows\system32\nepimeda.dll
C:\windows\system32\bpkhhcoh.dll
C:\windows\system32\ghomeklf.dll
C:\windows\system32\cbpeoecm.dll
C:\windows\system32\eihgcnog.dll
C:\windows\system32\empcpngg.dll
C:\Program Files\Tencent\QQ\PSAPI.DLL
C:\windows\system32\6CCDDCF2.dat
C:\windows\System32\Drivers\msiffei.sys
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

把附件1.RAR中的comres.dll放到C:\windows\system32\下，重启电脑

解压运行附件的Antivirus.rar

编辑<AppInit_DLLs><C:\windows\system32\COMRes.dll C:\windows\fonts\ComRes.dll kmon.dll,nepimeda.dll,bpkhhcoh.dll,ghomeklf.dll,cbpeoecm.dll,eihgcnog.dll,empcpngg.dll,pioighbc.dll,gfeanapd.dll,kihcccom.dll,illdllhd.dll,kndchbmn.dll,eppcncek.dll,idlhfigk.dll,ddjdmfkf.dll>内容为空 即删除

删除注册表项目
<load><C:\windows\rundl132.exe>  []
<Alcmtr><anymie360.exe>  []
<{7E926EDA-D433-4FDC-BDF8-08E55790CF33}><C:\windows\system32\nepimeda.dll>  []
    <{B9411C81-72BF-4BF6-B400-1CA15088F945}><C:\windows\system32\bpkhhcoh.dll>  []
    <{0186E45F-A37B-4970-84AA-2F19452E7329}><C:\windows\system32\ghomeklf.dll>  []
    <{CB9E8EC6-6FD3-48C6-B283-C0644EE488EC}><C:\windows\system32\cbpeoecm.dll>  []
    <{E210C780-AC11-45BE-BE4E-272AE12BCDD1}><C:\windows\system32\eihgcnog.dll>  []
    <{E69C9700-910C-48B4-99D4-26D18808E061}><C:\windows\system32\empcpngg.dll>  []
    <{928201BC-C3D7-4559-A04D-A33A158197D3}><C:\windows\system32\pioighbc.dll>  []
    <{0FEA7A9D-7A22-4897-857C-BC12F7F92EF6}><C:\windows\system32\gfeanapd.dll>  []
    <{421CCC86-004D-4B7D-B53C-5A6534D4A9B4}><C:\windows\system32\kihcccom.dll>  []
    <{255D551D-F484-48D0-AF4B-8D777AAD7064}><C:\windows\system32\illdllhd.dll>  []
    <{47DC1B67-3E1C-41CB-A7D6-E80B01DFEE6D}><C:\windows\system32\kndchbmn.dll>  []
    <{E99C7CE4-2950-4F37-914F-92E0ACA27DA9}><C:\windows\system32\eppcncek.dll>  []
    <{2D51F204-CFFF-4FA4-9095-2FA4969FD667}><C:\windows\system32\idlhfigk.dll>  []
    <{DD3D6F4F-A3FD-4DA6-9901-6686CD35561B}><C:\windows\system32\ddjdmfkf.dll>  []
    <{BE9DEA3A-893C-43F3-BC33-99574575A9F0}><C:\Program Files\Internet Explorer\PowerDn.Rel>  []
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]

删除驱动服务
[io / io][Running/]
  <2 - 系统找不到指定的文件。
><N/A>
[SafeMon360 / SafeMon1][Running/System Start]
  <\??\C:\windows\system32\6CCDDCF2.dat><N/A>
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

重置HOSTS文件

自动化删除指令病毒文件可以下载我的附件 并按我签名里的帖子操作

  但是记得要先按楼上的操作处理好 comres.dll

```xie xie `````ru shu fa bei hei le ````

重新扫描上传sreng日志

lai le ```
wo yi  jing xiang qian mian lou na yang  cao zuo  le ``
hai shi bu xing````

````bang bang man a````

http://www.duba.net/zhuansha/263.shtml

清理
完了
上传新日志

断网操作：先把要的东西下完。


http://bbs.ikaka.com/showtopic-8417665.aspx下载ctfmon.exe用附件里的工具替换本机里的。


建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\hmlockbp.dll
c:\windows\system32\gfbjefkm.dll
c:\windows\system32\ebdlhigo.dll
c:\windows\system32\gacchlfb.dll
c:\windows\system32\oglikcad.dll
c:\windows\system32\cdhdhhck.dll
c:\windows\system32\lipenpli.dll
c:\windows\system32\kpoapkde.dll
c:\windows\system32\lpljiegj.dll
c:\windows\system32\hjfpfkch.dll
c:\windows\system32\ajhkkhnj.dll
c:\windows\system32\mlcepblp.dll
c:\windows\system32\aloibfdo.dll
c:\windows\system32\boeaohpi.dll
c:\windows\system32\anymie360.exe
c:\windows\anymie360.exe
c:\windows\rundl132.exe
c:\program files\internet explorer\powerdn.rel
c:\windows\system32\2fa1a96e.dat
system32\drivers\msiffei.sys


删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：

[1658C4B9]    <C:\windows\system32\hmlockbp.dll>
[0FB3EF46]    <C:\windows\system32\gfbjefkm.dll>
[EBD51208]    <C:\windows\system32\ebdlhigo.dll>
[0ACC15FB]    <C:\windows\system32\gacchlfb.dll>
[80524CAD]    <C:\windows\system32\oglikcad.dll>
[CD1D11C4]    <C:\windows\system32\cdhdhhck.dll>
[529E7952]    <C:\windows\system32\lipenpli.dll>
[498A94DE]    <C:\windows\system32\kpoapkde.dll>
[59532E03]    <C:\windows\system32\lpljiegj.dll>
[13F9F4C1]    <C:\windows\system32\hjfpfkch.dll>
[A3144173]    <C:\windows\system32\ajhkkhnj.dll>
[65CE9B59]    <C:\windows\system32\mlcepblp.dll>
[A582BFD8]    <C:\windows\system32\aloibfdo.dll>
[B8EA8192]    <C:\windows\system32\boeaohpi.dll>
[{1658C4B9-8458-4CB9-84A2-C6AEF3E1B892}]    <C:\windows\system32\hmlockbp.dll>
[{0FB3EF46-4279-4AC2-B2F3-FDE784350A35}]    <C:\windows\system32\gfbjefkm.dll>
[{EBD51208-CA74-4312-9BD0-1DD80C774A3E}]    <C:\windows\system32\ebdlhigo.dll>
[{0ACC15FB-F903-4EB1-A573-2013CEED6BA4}]    <C:\windows\system32\gacchlfb.dll>
[{80524CAD-643D-4A13-8C49-99127AB05B2A}]    <C:\windows\system32\oglikcad.dll>
[{CD1D11C4-B817-4A20-A8D9-7A6EB292EF27}]    <C:\windows\system32\cdhdhhck.dll>
[{529E7952-8F86-4C02-BBF0-5F4822ACA8EC}]    <C:\windows\system32\lipenpli.dll>
[{498A94DE-F0C8-4541-8CC1-F31BE1FBD482}]    <C:\windows\system32\kpoapkde.dll>
[{59532E03-8747-472A-ACA9-BD23C1FADF58}]    <C:\windows\system32\lpljiegj.dll>
[{13F9F4C1-BB79-49FF-B433-B5345D329EAD}]    <C:\windows\system32\hjfpfkch.dll>
[{A3144173-B09E-4993-8E3F-C418E563AEDE}]    <C:\windows\system32\ajhkkhnj.dll>
[{65CE9B59-7DA3-438A-82B2-EC0B5DCF726F}]    <C:\windows\system32\mlcepblp.dll>
[{A582BFD8-421F-4335-A6EB-8394F0699107}]    <C:\windows\system32\aloibfdo.dll>
[{B8EA8192-1D54-4F70-9861-3ACBF6CC679F}]    <C:\windows\system32\boeaohpi.dll>
[Alcmtr]    <anymie360.exe>
注意该项[AppInit_DLLs]修改：把<C:\windows\fonts\ComRes.dll kmon.dll,boeaohpi.dll,aloibfdo.dll,mlcepblp.dll,ajhkkhnj.dll,hjfpfkch.dll,lpljiegj.dll,kpoapkde.dll,lipenpli.dll,cdhdhhck.dll,oglikcad.dll,gacchlfb.dll,ebdlhigo.dll,gfbjefkm.dll,hmlockbp.dll>修改为<>即清空

[{BE9DEA3A-893C-43F3-BC33-99574575A9F0}]    <C:\Program Files\Internet Explorer\PowerDn.Rel>

[load]    <C:\windows\rundl132.exe>清空C:\windows\rundl132.exe


启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

[SafeMon360 / SafeMon1]    <\??\C:\windows\system32\2FA1A96E.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>


系统修复——浏览器加载项之如下项删除
[]    <C:\Program Files\Internet Explorer\PowerDn.Rel>
[]    <C:\Program Files\Internet Explorer\PowerDn.Rel>

usp10和psapi文件简易清理器.rar清理下

用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/