斑竹们帮忙看下日至！确实中毒了！

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛斑竹们帮忙看下日至！确实中毒了！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

中毒了。。初生襁褓狮帖子:1 注册: 2008-03-14 来自:	发表于： 2008-03-14 21:21 \| 只看楼主短消息资料字号：小中大 1楼斑竹们帮忙看下日至！确实中毒了！中毒了，斑竹帮忙看下日至瑞星主程序打不开，升级可以打开和病毒隔离打的开！我改怎么办啊！号都被盗了，心痛！！！系统为xp/sp2 用Sreng扫了个日至上来。。。求斑竹们帮帮忙看下。。想哭！！ [用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; MAXTHON 2.0) 附件: 文件名:10238942008314210940.txt 下载次数:75 文件类型:application/octet-stream 文件大小: 上传时间:2008-3-14 21:21:36 描述: 2008-03-15 01:30:01.217000000
中毒了。。初生襁褓狮帖子:1 注册: 2008-03-14 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-03-14 22:02 \| 短消息资料字号：小中大 2楼【回复“中毒了。。”的帖子】【回复“中毒了。。”的帖子】 1、在瑞星2008的主动防御的“程序启动控制”添加规则，禁止下列启动项、服务项、驱动项指向的程序启动运行： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <igzwzslm><C:\WINDOWS\gwsmhxuq.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [] <SHAProc><C:\WINDOWS\SHAProc.exe> [] <WINSvr32><C:\WINDOWS\WINSvr32.exE> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <Wingin><C:\WINDOWS\system32\Wingin.exe> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{fe81474f-bcc6-4e2a-ab90-292a54fc9a3b}><C:\WINDOWS\system32\ayLABLAB1039.dll> [] <{207e3462-464f-4d71-a04d-cae986f7632f}><C:\WINDOWS\system32\ffPAOPAO1009.dll> [] <{3fece108-2ab9-41e4-a837-4357b943be94}><C:\WINDOWS\system32\ayHADHAD1048.dll> [] <{72bc444a-c621-4f4d-8504-57c948e81201}><C:\WINDOWS\system32\ffTQQTQQ1009.dll> [] <{2b677033-c094-4855-8f26-e19d1a100ba1}><C:\WINDOWS\system32\fBABBAB1035.dll> [] <{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}><C:\WINDOWS\system32\ffFKKFKK1047.dll> [] <{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}><C:\WINDOWS\system32\fSACSAC1016.dll> [] <{3be976db-b807-4251-81e8-38997856f675}><C:\WINDOWS\system32\fCBDCBD1033.dll> [] <{00951852-9758-4887-9755-C8761F5FDE61}><> [N/A] 驱动程序 [fpids32 / fpids32][Stopped/Auto Start] <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A> [mhfp / mhfp][Stopped/Auto Start] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4B.tmp><N/A> [msertk / msertk][Stopped/Auto Start] <system32\drivers\msyecp.sys><N/A> [msskye / msskye][Stopped/Auto Start] <system32\DRIVERS\msaclue.sys><N/A> [phy / phy][Stopped/Manual Start] <\??\C:\WINDOWS\system32\DRIVERS\phy.sys><N/A> 浏览器加载项 [] {4B23A8E5-CC9C-4A15-81F3-9B902C00AF4B} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A> 2、在瑞星2008的主动防御的“应用程序访问控制”添加规则，禁止C:\WINDOWS\EXPLORER.EXE运行其它程序。 3、重启。重启后，用sreng删除上述启动项、服务项、驱动项及其指向的程序。 4、删除C:\WINDOWS\EXPLORER.EXE（系统会自动生成一个新的） 5、升级瑞星，全盘杀毒。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-03-14 23:11 \| 短消息资料字号：小中大 3楼 1.用XDelBox以抑制再生方式删除以下文件：(http://www.dodudou.com/down/index.php 原创软件中的 XDelBox1.6下载) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 c:\windows\system32\ayhadhad1048.dll c:\windows\system32\aylablab1039.dll c:\windows\system32\fbabbab1035.dll c:\windows\system32\fcbdcbd1033.dll c:\windows\system32\fffkkfkk1047.dll c:\windows\system32\ffpaopao1009.dll c:\windows\system32\fftqqtqq1009.dll c:\windows\system32\fsacsac1016.dll c:\windows\system32\wininat.dll c:\windows\explorer.exe c:\windows\winsvr32.exe c:\windows\shaproc.exe c:\windows\dbghlp32.exe c:\windows\cmdbcs.exe c:\windows\gwsmhxuq.exe c:\windows\system32\wingin.exe c:\windows\system32\drivers\phy.sys c:\windows\system32\drivers\msaclue.sys c:\windows\system32\drivers\msyecp.sys c:\docume~1\admini~1\locals~1\temp\tmp4b.tmp c:\program files\igalive\igalive.sys c:\windows\system32\drivers\msosfpids32.sys c:\docume~1\admini~1\locals~1\temp\tmp56.tmp c:\program files\internet explorer\plugins\nvsys_55.sys 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [{00951852-9758-4887-9755-C8761F5FDE61}] [{3be976db-b807-4251-81e8-38997856f675}] [{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}] [{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}] [{2b677033-c094-4855-8f26-e19d1a100ba1}] [{72bc444a-c621-4f4d-8504-57c948e81201}] [{3fece108-2ab9-41e4-a837-4357b943be94}] [{207e3462-464f-4d71-a04d-cae986f7632f}] [{fe81474f-bcc6-4e2a-ab90-292a54fc9a3b}] [WINSvr32] [SHAProc] [DbgHlp32] [cmdbcs] [igzwzslm] [Wingin] 启动项目－－服务－－驱动程序之如下项删除： [phy / phy] [msskye / msskye] [msertk / msertk] [mhfp / mhfp] [IGALIVE / IGALIVE] [fpids32 / fpids32] [dohs / dohs] 系统修复－－　浏览器加载项之如下项删除： [] <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys> [] <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

卡卡技术团队

帖子:25779
注册: 2007-01-14
来自:

发表于： 2008-03-15 01:30 | 短消息资料

字号：小中大 4楼

引用:

【baohe的贴子】【回复“中毒了。。”的帖子】
【回复“中毒了。。”的帖子】
1、在瑞星2008的主动防御的“程序启动控制”添加规则，禁止下列启动项、服务项、驱动项指向的程序启动运行：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<igzwzslm><C:\WINDOWS\gwsmhxuq.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WINSvr32><C:\WINDOWS\WINSvr32.exE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<Wingin><C:\WINDOWS\system32\Wingin.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{fe81474f-bcc6-4e2a-ab90-292a54fc9a3b}><C:\WINDOWS\system32\ayLABLAB1039.dll> []
<{207e3462-464f-4d71-a04d-cae986f7632f}><C:\WINDOWS\system32\ffPAOPAO1009.dll> []
<{3fece108-2ab9-41e4-a837-4357b943be94}><C:\WINDOWS\system32\ayHADHAD1048.dll> []
<{72bc444a-c621-4f4d-8504-57c948e81201}><C:\WINDOWS\system32\ffTQQTQQ1009.dll> []
<{2b677033-c094-4855-8f26-e19d1a100ba1}><C:\WINDOWS\system32\fBABBAB1035.dll> []
<{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}><C:\WINDOWS\system32\ffFKKFKK1047.dll> []
<{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}><C:\WINDOWS\system32\fSACSAC1016.dll> []
<{3be976db-b807-4251-81e8-38997856f675}><C:\WINDOWS\system32\fCBDCBD1033.dll> []
<{00951852-9758-4887-9755-C8761F5FDE61}><> [N/A]
驱动程序
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4B.tmp><N/A>
[msertk / msertk][Stopped/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[msskye / msskye][Stopped/Auto Start]
<system32\DRIVERS\msaclue.sys><N/A>
[phy / phy][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\DRIVERS\phy.sys><N/A>
浏览器加载项
[]
{4B23A8E5-CC9C-4A15-81F3-9B902C00AF4B} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
2、在瑞星2008的主动防御的“应用程序访问控制”添加规则，禁止C:\WINDOWS\EXPLORER.EXE运行其它程序。
3、重启。重启后，用sreng删除上述启动项、服务项、驱动项及其指向的程序。
4、删除C:\WINDOWS\EXPLORER.EXE（系统会自动生成一个新的）
5、升级瑞星，全盘杀毒。
………………

呵呵,很好的思路,赞一个

<<上一主题|下一主题>>

1 / 1 页

跳转页

中毒了。。初生襁褓狮帖子:1 注册: 2008-03-14 来自:	发表于： 2008-03-14 21:21 \| 只看楼主短消息资料字号：小中大 1楼斑竹们帮忙看下日至！确实中毒了！中毒了，斑竹帮忙看下日至瑞星主程序打不开，升级可以打开和病毒隔离打的开！我改怎么办啊！号都被盗了，心痛！！！系统为xp/sp2 用Sreng扫了个日至上来。。。求斑竹们帮帮忙看下。。想哭！！ [用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; MAXTHON 2.0) 附件: 文件名:10238942008314210940.txt 下载次数:75 文件类型:application/octet-stream 文件大小: 上传时间:2008-3-14 21:21:36 描述: 2008-03-15 01:30:01.217000000
中毒了。。初生襁褓狮帖子:1 注册: 2008-03-14 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 斑竹们帮忙看下日至！确实中毒了！

斑竹们帮忙看下日至！确实中毒了！

斑竹们帮忙看下日至！确实中毒了！

附件:

文件名:10238942008314210940.txt 下载次数:75 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(31842); 上传时间:2008-3-14 21:21:36 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛斑竹们帮忙看下日至！确实中毒了！

文件名:10238942008314210940.txt

下载次数:75

文件类型:application/octet-stream

文件大小:

上传时间:2008-3-14 21:21:36

描述: