1   1  /  1  页   跳转

[求助] 帮我看看,有日志

帮我看看,有日志

帮我看看吧!一堆顽固病毒。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件附件:

文件名:SREngLOG.log
下载次数:107
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-11 15:14:52
描述:log

分享到:
gototop
 

回复:帮我看看,有日志

╭∩╮(︶︿︶)╭∩╮
gototop
 

回复:帮我看看,有日志

上金山急救箱吧
gototop
 

回复:帮我看看,有日志

C:\Program Files\Internet Explorer\D9.dll
上传样本到可疑文件交流区,地址为:http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心为:http://mailcenter.rising.com.cn/uploadnew.aspx

建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\fonts\juxfqjdwmfqehcy2.fon
c:\windows\system32\mv3arsbmapjxbcruu.dll
c:\windows\system32\wcctgj4zcxhf.dll
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\q9q2mhj3utberm7wc.dll
c:\windows\system32\emhnpubaaf7xjuxbbdxsg.dll
c:\docume~1\admini~1\locals~1\temp\1305614
c:\program files\internet explorer\d9.dll
c:\windows\system32\w7uds3zyayg9.dll


2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{407C7A80-4656-4C4A-81C6-DFFB8009B80F}]    <C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll>
[{427E02E6-39DB-4424-A49C-7553CD1331F5}]    <C:\WINDOWS\system32\WcCtgJ4zcxHF.dll>
[{E3531A16-FFEA-416F-82DF-32FEDE02EABF}]    <C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>
[{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}]    <C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>
[{D6129F8A-6F6E-41D7-BBC9-AC7426759CED}]    <C:\WINDOWS\system32\w7uds3zyayg9.dll>
[{108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2}]    <C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[zx / zx]    <>
[zx / zx]    <>

**************以上分析报告由SREngLog分析助手提供******************
分析QoS
时间:2009-8-11
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)
gototop
 

回复:帮我看看,有日志

到是说个解决方法啊!
gototop
 

回复: 帮我看看,有日志

再补充一点,userinit.exe可能被感染,用正常系统的同名文件替换:c:\windows\system32\userinit.exe

使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\program files\internet explorer\d9.dll
c:\windows\fonts\juxfqjdwmfqehcy2.fon
c:\windows\system32\mv3arsbmapjxbcruu.dll
c:\windows\system32\wcctgj4zcxhf.dll
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\q9q2mhj3utberm7wc.dll
c:\windows\system32\emhnpubaaf7xjuxbbdxsg.dll
c:\docume~1\admini~1\locals~1\temp\1305614
c:\windows\system32\w7uds3zyayg9.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{407C7A80-4656-4C4A-81C6-DFFB8009B80F}]    <C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll>
[{427E02E6-39DB-4424-A49C-7553CD1331F5}]    <C:\WINDOWS\system32\WcCtgJ4zcxHF.dll>
[{E3531A16-FFEA-416F-82DF-32FEDE02EABF}]    <C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>
[{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}]    <C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>
[{44145A62-C003-4C0E-ADDE-4AB37A7FD38B}]    <C:\Program Files\Internet Explorer\D9.dll>
[{D6129F8A-6F6E-41D7-BBC9-AC7426759CED}]    <C:\WINDOWS\system32\w7uds3zyayg9.dll>
[{108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2}]    <C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll>
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[zx / zx]    <>
[zx / zx]    <>
gototop
 

回复:帮我看看,有日志

不知道你还要什么解决方法,你可以先试试3楼的上金山急救箱吧
http://labs.duba.net/jjx.shtml

不行就下载XDelBox(http://www.dodudou.com/down/download.php?fname=./01.原创软件/XDelBox1.8剑盟版.rar)  进行删除吧

sigverif-------文件签名验证程序
(运行中输入,然后截图)
gototop
 

回复: 帮我看看,有日志

用XD删除时说文件不存在~~重扫日志看看~~

附件附件:

文件名:SREngLOG1.log
下载次数:105
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-11 16:03:21
描述:log

gototop
 

回复:帮我看看,有日志

userinit.exe被感染,从其他同版本操作系统中复制:c:\windows\system32\userinit.exe,替换到本地。
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~2ddaa.tmp

上传病毒样本到可疑文件交流区,地址为:http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为:http://mailcenter.rising.com.cn/uploadnew.aspx
╭∩╮(︶︿︶)╭∩╮
gototop
 

回复: 帮我看看,有日志

使用费尔工具删除下列文件(签名处下载)
c:\docume~1\admini~1\locals~1\temp\~2ddaa.tmp
c:\docume~1\admini~1\locals~1\temp\31379

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[zx / zx]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~2ddaa.tmp>


下载附件运行(小狮子做的)

附件: xp-sp3 userinit.exe替换.rar (2009-8-11 16:27:46, 72.14 K)
该附件被下载次数 162

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT