瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL.Agent.mex

12   1  /  2  页   跳转

[求助] Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL.Agent.mex

收藏
吾猪也
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 02:01 | 只看楼主 短消息 资料
字号: 1楼

Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL.Agent.mex

大家好!
我好烦啊,也不知道怎样就染上了这三个病毒,用瑞星是杀不了,现在啊,指望你们了,大师们帮我出出主意,谢了!
病毒信息:
              病毒名称                                                            路径
1、Trojan.Win32.Undef.gcq          C:\WINDOWS\system32\oobe\2896\svchost.exe>>aspack212
2、Trojan.DL.YBHO.a                    C:\WINDOWS\system32\ kw_wl_lyric_005.exe>>YHBO.dll
3、Trojan.DL.Agent.mex              C:\WINDOWS\system32\ kw_wl_lyric_005.exe>>HTTPDll.dll

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
分享到:
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-06-17 02:02 | 短消息 资料
字号: 2楼

回复:Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL....

点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法:
1、解压缩所下载的"sreng980.zip"压缩包;
2、打开已经解压缩的"SREng980"文件夹,双击运行其中的"SREngPS.exe";
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”,将日志保存到桌面上;
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示:
1、扫描日志前请先关闭所有打开的软件(如QQ、迅雷等程序和IE窗口,注意,是关闭而不是最小化窗口)
2、注意在没有进一步提示前,请勿用SRENG工具胡乱修复,否则系统可能变的情况更糟。
不认识我没关系,因为我也不认识你。
gototop
 
吾猪也
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 02:24 | 只看楼主 短消息 资料
字号: 3楼

回复: Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL....

大师,你好!
我已经按照你的方法操作了,你帮我看一下,如何是好?

附件附件:

文件名:SREngLOG.log
下载次数:117
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-17 2:23:40
描述:log
gototop
 
小九的寒
头像
飘泊而立狮
  • 帖子:556
  • 注册: 2007-12-26
  • 来自:安徽九城监狱
发表于: 2008-06-17 09:23 | 短消息 资料
字号: 4楼

回复: Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL....



引用:
原帖由 吾猪也 于 2008-6-17 2:24:00 发表
大师,你好!
我已经按照你的方法操作了,你帮我看一下,如何是好?


1.建议使用XDelBox删除以下文件(XDelBox1.7支持奥运版下载) 下载地址:www.dodudou.com)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\drivers\kfq8yb.sys

[2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

    启动项目 -- 服务-- 驱动程序之如下项删除:
[kfq8y / kfq8yb]    <\SystemRoot\System32\DRIVERS\kfq8yb.sys>

最后建议你去www.360.cn网站下载顽固木马专杀。
再用windows清理助手清理一下系统残余木马。
gototop
 
吾猪也
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 13:21 | 只看楼主 短消息 资料
字号: 5楼

回复 4F 小九的寒 的帖子

帮帮忙吧,我对电脑不熟,按照上面这们仁兄的方法操作了,可是到了如下这一步的时候,我找不到<C:\WINDOWS\system32\userinit.exe,>  可能是我看不懂是什么意思吧.急啊!
启动项目 -- 注册表之如下项删除:
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-06-17 13:35 | 短消息 资料
字号: 6楼

回复: Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL....



引用:
原帖由 吾猪也 于 2008-6-17 13:21:00 发表
帮帮忙吧,我对电脑不熟,按照上面这们仁兄的方法操作了,可是到了如下这一步的时候,我找不到<C:\WINDOWS\system32\userinit.exe,>  可能是我看不懂是什么意思吧.急啊!
启动项目 -- 注册表之如下项删除:
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WIND

其他步骤都做完以后,你再运行sreng,到启动项的时候会弹出一个警告,告诉你userinit被修改为非正常值,这时可以让他自动修复,当然要先禁用监控。
gototop
 
吾猪也
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 13:42 | 只看楼主 短消息 资料
字号: 7楼

回复 4F 小九的寒 的帖子

使用SREng时,进入如下这个状态下(附件所示),我应该如何找到"  启动项目 -- 注册表之如下项删除:
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

    启动项目 -- 服务-- 驱动程序之如下项删除:
[kfq8y / kfq8yb]    <\SystemRoot\System32\DRIVERS\kfq8yb.sys>
并进行操作?
最后编辑吾猪也 最后编辑于 2008-06-17 13:44:45
gototop
 
吾猪也
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 13:51 | 只看楼主 短消息 资料
字号: 8楼

回复 6F lqqk7 的帖子

我找不到你们所说的[Userinit]和[kfq8y / kfq8yb] ,所以不会修改和删除,当然不会出现你说的"userinit被修改为非正常值",怎么办呢
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-06-17 13:54 | 短消息 资料
字号: 9楼

回复:Trojan.Win32.Undef.gcq和Trojan.DL.YBHO.a和Trojan.DL....

如果你选择启动选项的时候没有弹出警告提示就说明userinit已经正常了。

驱动项需要你点“服务”选项卡以后才能看到
gototop
 
吾猪也
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 14:05 | 只看楼主 短消息 资料
字号: 10楼

回复 6F lqqk7 的帖子

我已经把c:\windows\system32\drivers\kfq8yb.sys文件删除了,下一步有劳指教,好吗?
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT