瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 急,木马病毒老是杀不完。重装和安全都试过了。还是不行

1   1  /  1  页   跳转

[求助] 急,木马病毒老是杀不完。重装和安全都试过了。还是不行

收藏
wotyund
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-08-20
  • 来自:
发表于: 2008-08-20 11:45 | 只看楼主 短消息 资料
字号: 1楼

急,木马病毒老是杀不完。重装和安全都试过了。还是不行

dage da ji

附件: SREngLOG.log (2008-8-20 11:45:10, 54.89 K)
该附件被下载次数 129

e bang g mang

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; TheWorld)
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-20 11:52 | 短消息 资料
字号: 2楼

回复:急,木马病毒老是杀不完。重装和安全都试过了。还是不行


reg.exe从dllcache文件夹拷一个到system32文件夹里
操作前强烈要求先断网
1.建议使用XDelBox删除以下文件:(Xdelbox1.7下载地址:http://www.qispace.com.cn/read.php/1.htm    的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0)
使用说明:先勾选抑制再生删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
),电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\biroask.exe
c:\windows\system32\reg.exe
c:\windows\system32\360mon.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\dhyszj.dll
c:\windows\system32\jfdses.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\nhmxfjkl.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\drivers\0011949c.sys
c:\windows\system32\drivers\0011f01a.sys
c:\windows\system32\drivers\00672100.sys


2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{AEB6717E-7E19-21d2-97EE-00C04FD91972}]    <C:\WINDOWS\system32\360mon.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}]    <C:\WINDOWS\system32\kgfghd.dll>
[WinlogonNotify: xy3safe]    <C:\WINDOWS\system32\360mon.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}]    <C:\WINDOWS\system32\kgfghd.dll>
[{272A3236-188A-4E8A-8675-868AF8A8D151}]    <C:\WINDOWS\system32\dhyszj.dll>
[{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}]    <C:\WINDOWS\system32\jfdses.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}]    <C:\WINDOWS\system32\jhfrxz.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]    <C:\WINDOWS\system32\zsdgff.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}]    <C:\WINDOWS\system32\wyrsdj.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]    <C:\WINDOWS\system32\fmcvxy.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[{67AC9076-C898-B098-D098-A18319080976}]    <C:\WINDOWS\system32\nhmxfjkl.dll>
[{67AC9076-C898-B098-D098-A18319080976}]    <C:\WINDOWS\system32\nhmxfjkl.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgdewg.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}]    <C:\WINDOWS\system32\wrqszl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改:把<kmon.dll biroas.dll lensch.dll comboaus.dll woswelc.dll kandaof.dll rmchamp.dll,nhmxfjkl.dll cmonos.dll jolinos.dll dualey.dll hourpx2.dll dearnts.dll jacknove.dll>修改为<kmon.dll>即清空

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[0011949c / 0011949c]    <\??\C:\WINDOWS\system32\Drivers\0011949c.sys>
[0011f01a / 0011f01a]    <\??\C:\WINDOWS\system32\Drivers\0011f01a.sys>
[00672100 / 00672100]    <\??\C:\WINDOWS\system32\Drivers\00672100.sys>
[241609 / 241609]    <>
[241609 / 241609]    <>

附件清除映像劫持

附件附件:

下载次数:144
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-20 11:52:51
描述:rar

最后编辑aaccbbdd 最后编辑于 2008-08-20 12:01:14
gototop
 
天仁
头像
飘泊而立狮
  • 帖子:713
  • 注册: 2008-06-01
  • 来自:
发表于: 2008-08-20 11:57 | 短消息 资料
字号: 3楼

回复: 急,木马病毒老是杀不完。重装和安全都试过了。还是不行

biroask.exe,reg.exeC:\windows\system32\dllcache中拷贝到C:\WINDOWS\system32

1.建议使用XDelBox删除以下文件:(XDelBox1.7下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\360mon.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\dhyszj.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\jfdses.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\knx32.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\nhmxfjkl.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\biroas.dll
c:\windows\system32\lensch.dll
c:\windows\system32\comboaus.dll
c:\windows\system32\woswelc.dll
c:\windows\system32\kandaof.dll
c:\windows\system32\rmchamp.dll
c:\windows\system32\nhmxfjkl.dll
c:\windows\system32\cmonos.dll
c:\windows\system32\jolinos.dll
c:\windows\system32\dualey.dll
c:\windows\system32\hourpx2.dll
c:\windows\system32\dearnts.dll
c:\windows\system32\jacknove.dll
c:\windows\knx32.exe
c:\windows\system32\drivers\0011949c.sys
c:\windows\system32\drivers\0011f01a.sys
c:\windows\system32\drivers\00672100.sys
c:\windows\system32\drivers\pteytoy.sys
c:\windows\\systemroot\system32\drivers\pfmgna.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[WinlogonNotify: xy3safe]    <C:\WINDOWS\system32\360mon.dll>
[{AEB6717E-7E19-21d2-97EE-00C04FD91972}]    <C:\WINDOWS\system32\360mon.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}]    <C:\WINDOWS\system32\kgfghd.dll>
[{272A3236-188A-4E8A-8675-868AF8A8D151}]    <C:\WINDOWS\system32\dhyszj.dll>
[{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}]    <C:\WINDOWS\system32\jfdses.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}]    <C:\WINDOWS\system32\jhfrxz.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]    <C:\WINDOWS\system32\zsdgff.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}]    <C:\WINDOWS\system32\wyrsdj.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]    <C:\WINDOWS\system32\fmcvxy.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[{67AC9076-C898-B098-D098-A18319080976}]    <C:\WINDOWS\system32\nhmxfjkl.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgdewg.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}]    <C:\WINDOWS\system32\wrqszl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改:把<kmon.dll biroas.dll lensch.dll comboaus.dll woswelc.dll kandaof.dll rmchamp.dll,nhmxfjkl.dll cmonos.dll jolinos.dll dualey.dll hourpx2.dll dearnts.dll jacknove.dll>修改为<kmon.dll>即清空
[kcodn]    <knx32.exe>
[IFEO[filemon.exe]]    <ntsd -d>
[IFEO[GFRing3.exe]]    <ntsd -d>
[IFEO[procexp.exe]]    <ntsd -d>
[IFEO[RawCopy.exe]]    <ntsd -d>
[IFEO[regmon.exe]]    <ntsd -d>
[IFEO[RegTool.exe]]    <ntsd -d>
[IFEO[rfwProxy.exe]]    <ntsd -d>
[IFEO[rfwstub.exe]]    <ntsd -d>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[0011949c / 0011949c]    <\??\C:\WINDOWS\system32\Drivers\0011949c.sys>
[0011f01a / 0011f01a]    <\??\C:\WINDOWS\system32\Drivers\0011f01a.sys>
[00672100 / 00672100]    <\??\C:\WINDOWS\system32\Drivers\00672100.sys>
[241609 / 241609]    <>
[241609 / 241609]    <>
[pteytoy / pteytoy]    <\SystemRoot\system32\drivers\pteytoy.sys>
[pfmgna / pfmgna]    <\SystemRoot\\SystemRoot\System32\drivers\pfmgna.sys>
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT