1   1  /  1  页   跳转

[求助] 求助木马群的顽固病毒

求助木马群的顽固病毒

C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\DOSSYS08.SYS
HKEY_CLASSES_ROOT,CLSID\{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}
HKEY_CURRENT_USER,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\CLSID\{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS,{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}

这个是WIN助手扫出来的木马..反复杀不掉
而且瑞星监控无法正常运行,打开后会自动关闭

扫描报告也传上来

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; TencentTraveler )

附件附件:

文件名:SREngLOG.log
下载次数:104
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-8 14:11:48
描述:log

最后编辑punkned 最后编辑于 2008-06-08 14:14:09
分享到:
gototop
 

回复: 求助木马群的顽固病毒

用c:\windows\system32\dllcache目录下的 explorer.exe替换c:\windows下的同名文件。

下载工具:
XDelBox下载:http://www.dodudou.com/down/  打开后选择【原创软件】,下载XDelBox1.7支持奥运版。
windows清理助手下载:http://www.arswp.com/download.html
———————————————————————————————————————
务必断开网络连接后再进行以下操作(个人推荐直接把网线拔掉);
———————————————————————————————————————
使用XDelBox删除以下文件:
使用前一定拔掉所有移动存储设备,将下面文件列表内容完整复制,然后打开XDelBox,在“待删除文件列表”下方空白框处右键,选择“剪贴板导入不检查路径”,勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
C:\090277405843581e.dat
C:\20b4a79451c7779d.dat
C:\23c58c78ceab1c23.dat
C:\2dc3d28038b802e0.dat
C:\52852dc029fedca2.dat
C:\5b131d0c88c915e5.dat
C:\5c5c9bcc446cb745.dat
C:\7afc2d4403955ea2.dat
C:\83b0f48c83978c46.dat
C:\88893f9440d91284.dat
C:\c8d94768421cf8d4.dat
C:\d4210c3051e6f510.dat
C:\dae795587688ad8d.dat
C:\e39c5ca0c980e459.dat
C:\e6d41980611d1689.dat
C:\ef3b30d0bffdd723.dat
C:\7ba0eca426670772.dat
C:\5dccf28838b2cfce.dat
C:\3fab4874200f9aa8.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
C:\PROGRA~1\baidu\bar\baidubar.dll
C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\ietzbpaq.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\oswxdttb.dll
C:\WINDOWS\system32\pjjxedwd.dll
C:\WINDOWS\system32\mpwdeapi.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\ypdjgbmp.dll
C:\WINDOWS\system32\zyzxjime.dll
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启进入Windows系统,
然后再按以下步骤操作:
———————————————————————————————————————
运行SRENG扫描工具,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[090277405843581e / 090277405843581e]
[20b4a79451c7779d / 20b4a79451c7779d]
[23c58c78ceab1c23 / 23c58c78ceab1c23]
[2dc3d28038b802e0 / 2dc3d28038b802e0]
[52852dc029fedca2 / 52852dc029fedca2]
[5b131d0c88c915e5 / 5b131d0c88c915e5]
[5c5c9bcc446cb745 / 5c5c9bcc446cb745]
[7afc2d4403955ea2 / 7afc2d4403955ea2]
[83b0f48c83978c46 / 83b0f48c83978c46]
[88893f9440d91284 / 88893f9440d91284]
[c8d94768421cf8d4 / c8d94768421cf8d4]
[d4210c3051e6f510 / d4210c3051e6f510]
[dae795587688ad8d / dae795587688ad8d]
[e39c5ca0c980e459 / e39c5ca0c980e459]
[e6d41980611d1689 / e6d41980611d1689]
[ef3b30d0bffdd723 / ef3b30d0bffdd723]
[7ba0eca426670772 / 7ba0eca426670772]
[5dccf28838b2cfce / 5dccf28838b2cfce]
[3fab4874200f9aa8 / 3fab4874200f9aa8]
[xuvsp / xuvsp]
[snpshot / snpshot]
下面这个驱动程序建议禁用:
[IIS Manager  / IIS Manager ]
———————————————————————————————————————
运行SRENG扫描工具,选择【系统修复】-【浏览器加载项】,将以下项删除:
[BandIE Class]
  {77FEF28E-EB96-44FF-B511-3185DEA48697}
[]
  {8AD0F1B1-990D-4F52-A33D-2837E43CEF58}
[百度工具栏]
  {B580CF65-E151-49C3-B73F-70B13FCA8E86}
[]
  {18093456-9012-4568-9076-908765467181}
[]
  {29109876-7619-9101-7012-901938475192}
[]
  {37AC9076-C898-B098-D098-A18319080973}
[]
  {43512378-9874-5641-1025-985420368734}
[]
  {54FAE856-AD58-20CB-A025-CD4895FA6E45}
[]
  {55694105-5108-9405-3695-954187462155}
[]
  {5A069845-2036-6084-9054-6087502480A5}
[]
  {91954FAC-1023-154F-895A-1458258AD819}
[]
  {AA59145F-315D-BC23-AC1F-145DF81A34AA}
———————————————————————————————————————
重启电脑,再次运行WINDOWS清理助手,执行“快速扫描”,对发现的“可清理对象”及“可卸载软件”,根据实际情况进行清理;不能确定的,把图发上来。
最后编辑超级游戏迷 最后编辑于 2008-06-08 14:33:27
打酱油的……
gototop
 

回复: 求助木马群的顽固病毒

另:看置顶帖,将adobe FLASH player升级到9.0.124.0版本……
打酱油的……
gototop
 

回复: 求助木马群的顽固病毒

按上面的方法操作了一次..结果还是有个马杀不掉..
瑞星的绿伞还是会自动变红伞
再扫个报告..顺带说明
  <{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}><C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys>  []
这个每次删了又重新出来

驱动程序里这个每次删了会出现新的..
[6d4842f8b05698a7 / 6d4842f8b05698a7][Running/Manual Start]
  <\??\C:\6d4842f8b05698a7.dat><N/A>



报告在此..求解

附件附件:

文件名:SREngLOG.log
下载次数:114
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-8 18:26:04
描述:log

gototop
 

回复: 求助木马群的顽固病毒

这个东西是用助手扫出来的..删一次出来一次..
gototop
 

回复:求助木马群的顽固病毒

1.用XDelBox勾选抑制再生后删除以下文件:(XDelBox1.7支持奥运版下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\program files\internet explorer\plugins\dossys08.sys
c:\6d4842f8b05698a7.dat

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}]   

    启动项目 -- 服务-- 驱动程序之如下项删除:
[6d4842f8b05698a7 / 6d4842f8b05698a7] 

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys>
不认识我没关系,因为我也不认识你。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT