附件: SREngLOG.log (2009-2-16 22:37:49, 62.29 K)
该附件被下载次数 144

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5

木马群..下个急救箱试下..不行的话回来打几个字...
http://www.duba.net/zhuansha/263.shtml

１、开机发现语言栏不见了，也不能使用输入法
２、防火墙、监控都不能启动
３、在线杀毒后防火墙能启动，但不能升级
４、监控仍不能启动，杀毒软件可以使用
５、语言栏仍不能使用，不能使用输入法

谢谢

不好意思..刚刚没看到你回复..先下2楼上面那个专杀试试好吗?

附件: shadu.txt (2009-2-16 22:58:20, 26.10 K)
该附件被下载次数 409

好的..我看到了..请再发一遍日志好吗?因为刚刚的病毒比较多...所以请你先用专杀清理了一遍..

附件: SREngLOG.log (2009-2-16 23:31:43, 58.50 K)
该附件被下载次数 164

多谢指导，瑞星和输入法都正常了，但是注册表里那个APPINIT_DLL还不正常，不是空的

因为病毒文件有点多请楼主在下面的操作时有点耐心..在第一步时只要复制粘贴就行...第2步稍微有点麻烦..

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)原创软件里面
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


C:\windows\system32\System.exe
C:\windows\System.exe
C:\windows\system32\cfplpnfa.dll
C:\windows\system32\iepihbjh.dll
C:\windows\system32\fbfjkjgc.dll
C:\windows\system32\mlkfbaak.dll
C:\windows\system32\dimmmdcm.dll
C:\windows\system32\bnhakejh.dll
C:\windows\system32\lmllgkkm.dll
C:\windows\system32\jnkjldpn.dll
C:\windows\system32\mfmfeiag.dll
C:\windows\system32\dgaemdfl.dll
C:\windows\system32\deacmcec.dll
C:\windows\system32\gljpollc.dll
C:\windows\system32\cfmmgpck.dll
C:\windows\system32\hgocidpm.dll
C:\windows\system32\meikabic.dll
C:\windows\system32\klecgbfk.dll
C:\windows\system32\mgcjjfma.dll
C:\windows\system32\aijfmklm.dll
C:\windows\system32\kahhpfhl.dll


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32><System.exe>  [N/A]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
把File is missing的项删除具体为:

<{6F6FE2A0-0F67-4FBC-A379-7D7E26930CF5}><C:\windows\system32\mfmfeiag.dll>  [File is missing]
    <{D0AE6DF5-D921-4849-8C4B-8812648130C8}><C:\windows\system32\dgaemdfl.dll> 
    <{DEAC6CEC-82D8-403E-A361-86091D88DB0B}><C:\windows\system32\deacmcec.dll> 
    <{0539855C-7C42-4EED-9D6B-E26E02ADAA3D}><C:\windows\system32\gljpollc.dll> 
    <{CF9597FA-1D9B-4D9B-A652-995E50DFF040}><C:\windows\system32\cfplpnfa.dll> 
    <{CF6609C4-54E4-4C03-9B83-CAF07D4B5B22}><C:\windows\system32\cfmmgpck.dll> 
    <{108C2D96-BEE5-4788-A8E4-45C70AC6138E}><C:\windows\system32\hgocidpm.dll> 
    <{2E921B31-B057-4E64-88F8-6AD07A5251E5}><C:\windows\system32\iepihbjh.dll> 
    <{6E24AB2C-FD55-4958-A6C5-8C2AE64E6AF7}><C:\windows\system32\meikabic.dll> 
    <{FBF3430C-188B-4E5A-8817-A299DF004C14}><C:\windows\system32\fbfjkjgc.dll> 
    <{654FBAA4-16BE-4293-9748-407B0603A09D}><C:\windows\system32\mlkfbaak.dll> 
    <{45EC0BF4-7766-42C8-BDF0-240A133870E5}><C:\windows\system32\klecgbfk.dll> 
    <{60C33F6A-B0E9-4A1E-B73B-898C4BD66112}><C:\windows\system32\mgcjjfma.dll> 
    <{D2666DC6-7052-40C6-8E4B-CEA217AE3FE7}><C:\windows\system32\dimmmdcm.dll> 
    <{B71A4E31-02F1-4811-AF68-619E890521C7}><C:\windows\system32\bnhakejh.dll> 
    <{A23F6456-8948-4326-8FD8-06114BAA3C74}><C:\windows\system32\aijfmklm.dll> 
    <{56550446-9CA6-4AA1-9401-F4C6F7F3F8F8}><C:\windows\system32\lmllgkkm.dll> 
    <{4A119F15-AF30-4ECC-A3D3-DE9429B16DD2}><C:\windows\system32\kahhpfhl.dll> 
    <{37435D97-346C-4ABF-90AE-B3C94534BA65}><C:\windows\system32\jnkjldpn.dll> 

再到下面重复一遍删除上面列出的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

注意该项[AppInit_DLLs]修改：把

<bnbipbif.dll,omheinfc.dll,emcjcncg.dll,gpocaoil.dll,dbiplbhe.dll,pilmhhgg.dll,lnfbjamf.dll,knlflngj.dll,lljplo

kn.dll,kjddghci.dll,mablhfne.dll,pglfjimj.dll,nbkglcig.dll,kmon.dll> 修改为<>即清空



清理助手下载 http://www.arswp.com/download.html
安装后，升级清理助手，全盘扫描
清理系统

做完后如果愿意可以再传份新日志,,帮你看看清楚干净没有.有没有漏掉那个..

一、卸载QQ，然后完整删除QQ的安装目录，然后下载SRENG扫描工具、本论坛置顶的USP10.DLL和PSAPI.DLL清理工具、XDELBOX1.8并解压缩在c:\windows目录下后，立即拔掉网线，然后关闭瑞星杀软的监控（原来的SRENG扫描工具不要用了，直接删除软件的文件夹）；

二、使用XDELBOX的“导入剪贴板不检查路径”和“立即重启执行删除”，一次性批量删除以下病毒文件：
C:\windows\system32\cfplpnfa.dll
C:\windows\system32\iepihbjh.dll
C:\windows\system32\fbfjkjgc.dll
C:\windows\system32\mlkfbaak.dll
C:\windows\system32\dimmmdcm.dll
C:\windows\system32\bnhakejh.dll
C:\windows\system32\lmllgkkm.dll
C:\windows\system32\jnkjldpn.dll
C:\windows\system32\DA63E650.dll
C:\windows\system32\System.exe
C:\windows\System.exe
C:\Program Files\Internet Explorer\PowerDw.Rel

三、进入注册表编辑器，删除如下注册表值项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{6F6FE2A0-0F67-4FBC-A379-7D7E26930CF5}>
    <{D0AE6DF5-D921-4849-8C4B-8812648130C8}>
    <{DEAC6CEC-82D8-403E-A361-86091D88DB0B}>
    <{0539855C-7C42-4EED-9D6B-E26E02ADAA3D}>
    <{DA63E650-537C-4042-87BB-9D19D844680B}>
    <{CF9597FA-1D9B-4D9B-A652-995E50DFF040}>
    <{CF6609C4-54E4-4C03-9B83-CAF07D4B5B22}>
    <{108C2D96-BEE5-4788-A8E4-45C70AC6138E}>
    <{2E921B31-B057-4E64-88F8-6AD07A5251E5}>
    <{6E24AB2C-FD55-4958-A6C5-8C2AE64E6AF7}>
    <{FBF3430C-188B-4E5A-8817-A299DF004C14}>
    <{654FBAA4-16BE-4293-9748-407B0603A09D}>
    <{45EC0BF4-7766-42C8-BDF0-240A133870E5}>
    <{60C33F6A-B0E9-4A1E-B73B-898C4BD66112}>
    <{D2666DC6-7052-40C6-8E4B-CEA217AE3FE7}>
    <{B71A4E31-02F1-4811-AF68-619E890521C7}>
    <{A23F6456-8948-4326-8FD8-06114BAA3C74}>
    <{56550446-9CA6-4AA1-9401-F4C6F7F3F8F8}>
    <{4A119F15-AF30-4ECC-A3D3-DE9429B16DD2}>
    <{37435D97-346C-4ABF-90AE-B3C94534BA65}>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <CF9597FA>
    <CF6609C4>
    <108C2D96>
    <2E921B31>
    <654FBAA4>
    <6E24AB2C>
    <FBF3430C>
    <45EC0BF4>
    <60C33F6A>
    <D2666DC6>
    <A23F6456>
    <56550446>
    <B71A4E31>
    <37435D97>
    <4A119F15>
    <D0AE6DF5>
    <6F6FE2A0>
    <DEAC6CEC>
    <0539855C>

四、在注册表编辑器窗口下，找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个注册表值项，将其数据编辑为空。

五、运行C:\WINDOWS目录下的SRENG扫描工具，删除如下浏览器加载项：
[]
  {0C43A48C-12A8-405D-A38F-451EA13D6470} <, N/A>

六、重启电脑（之后别联网，也不要运行除如下步骤所需的任何程序）；

七、双击“我的电脑”--工具--文件夹选项--查看--取消“隐藏受保护的文件和文件夹”--选择“是”--勾选“显示所有文件和文件夹”---点“应用”--再点“确定”，然后再进入“查看”选项卡，看刚才的设置是否已经成功，如果未成功，运行SRENG扫描工具（c:\windows下的），系统修复--windows shell/IE--勾选“全选”--单击“修复”，之后再完成以上显示隐藏文件和文件夹的设置。

八、运行置顶的USP10.DLL和PSAPI.DLL清理工具，清理可疑的USP10.DLL，注意：C:\WINDOWS\SYSTEM32\USP10.DLL、c:\windows\system32\dllcache\usp10.dll、C:\Program Files\Common Files\Microsoft Shared\OFFICE11\usp10.dll这3个文件是正常的，不要删除，要删除的usp10.dll病毒只有10k左右，那三个正常的文件至少上百K。

九、利用WINDOWS自带的搜索功能，“高级选项”勾选“搜索隐藏文件和文件夹”，先以USP10.DLL字段全盘进行搜索，看看有无10K左右的文件残留，有则删除之。

十、联网后升级瑞星到最新版本，全盘杀毒。

学习了..几天没来跟不上杀毒思路了..

楼主请按9楼大大的说明操作...QQ看来是需要卸载的..全盘搜索那个usp10.dll也是很有必要的..请不要怕麻烦..