12   1  /  2  页   跳转

[求助] 求助(附SRENG)

求助(附SRENG)

电脑开机时,WINDOWS画面一过去就会蓝屏,GHOST恢复后能正常进入,但一重新启动又是蓝屏.反复GHSOT都是这样.      用瑞星杀出来的病毒有:Trojan.DL.Win32.Mnless.cbr        Hack.Exploit.Win32.MS08-067.c        Trojan.Win32.Undef.rtk            RootKit.Win32.Small.eb                Trojan.PSW.Win32.GameOL.ugl    Trojan.PSW.Win32.GameOL.uco 等等.我到本论坛上看到有防御usp10.dll木马群的方法,不知道对不对症,我用usp10和psapi文件简易清理器,把USP10.DLL文件都找出来,然后用瑞星杀,大部分是Trojan.DL.Win32.Mnless.cbr 病毒,有些不是.现在电脑看起来没什么问题,我发个SRENG,请高手看看,我心里放心

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

附件附件:

文件名:SREngLOG.log
下载次数:164
文件类型:application/octet-stream
文件大小:
上传时间:2009-2-5 21:21:25
描述:log

分享到:
gototop
 

回复:求助(附SRENG)

请把C:\Program Files\Internet Explorer\PowerDn.Rel上传到可疑文件区
这里下载手工清理木马群工具包,并解压至C盘任意文件夹里。(全部工具内附操作说明):
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689
———————————————————————
下载usp10.dll扫描清理工具。
http://bbs.ikaka.com/attachment.aspx?attachmentid=484723

然后作好下面操作需要的所有准备,彻底断网处理。不断网无法解决问题。
———————————————————————
首先用工具包内的“文件提取工具”提取下面要你删除的那些文件,(内附说明图)
不论提取结果如何,继续下面操作。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。


如果XDELBOX工具操作中提示出错,不能操作,可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。(全部内附操作说明图)

启动XDELBOX程序。复制粘贴下面文件操作删除:
c:\windows\system32\nymie360.exe
C:\WINDOWS\system32\ainngipc.dll
C:\WINDOWS\system32\lmdcpkgn.dll
C:\WINDOWS\system32\dgbfkfop.dll
C:\WINDOWS\system32\gnmpoebd.dll
C:\WINDOWS\system32\nljicbpj.dll
C:\WINDOWS\system32\pefodecp.dll
C:\WINDOWS\system32\cplfgode.dll
C:\WINDOWS\system32\denckghn.dll
C:\WINDOWS\system32\anchdflb.dll
C:\WINDOWS\system32\angendbe.dll
C:\WINDOWS\system32\kllcdggf.dll
C:\WINDOWS\system32\biaidmkh.dll
C:\WINDOWS\system32\cdpclllh.dll
C:\WINDOWS\system32\cakldifc.dll


重启电脑自动运行完毕进入系统后,不论删除结果如何立即继续下面操作。

运行usp10.dll扫描清理工具扫描电脑,并继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”(有操作说明),清除检测到的所有映像劫持项。没有就不管它了。
尽量反复检测几遍。
———————————————————————
可以这贴里找相同系统里的userinit.exe文件下载:
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”(有使用说明)
将C:\WINDOWS\system32\userinit.exe替换回正常的系统文件.


(这部分不需要操作。天月来了)


——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击后跳出的界面里的“常规”项内点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件,不能清空的不管它
————————————————————————————————————
当扫描usp10.dll扫描清理工具提示重启电脑时

再重启电脑,反复检查,操作的结果,

连网用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁
最后编辑天月来了 最后编辑于 2009-02-06 07:46:08

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 

回复 1F hnwxc00 的帖子

中了usp10.dll木马群,但没杀净。
建议用下面这个帖子的工具删除下列病毒文件并将可能被病毒替换的系统文件复原(详见该帖内容):
http://bbs.ikaka.com/showtopic-8592394.aspx
C:\WINDOWS\system32\anymie360.exe
C:\WINDOWS\system32\anymie360.dll(可能存在)
C:\WINDOWS\system32\biaidmkh.dll
C:\Program Files\Internet Explorer\PowerDn.Rel
C:\Program Files\Internet Explorer\PowerNt.ONZ(可能存在)
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys

另请用WINRAR检查是否存在下列病毒文件:
C:\WINDOWS\Fonts\目录下的comres.dll

C:\WINDOWS\Fonts\目录下文件名中包含ctm的文件(可能有若干个)
C:\WINDOWS\system32\目录下文件名包含ctm的.exe文件(可能有若干个)
分系统分区含.exe的各个目录下的usp10.dll
C:\WINDOWS\Tasks\目录下的 1


如果有上述病毒文件,也要用此工具重启删除。

删除所有病毒文件后,重置HOSTS,打扫注册表垃圾:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Alcmtr><anymie360.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><biaidmkh.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{BE9DEA3A-893C-43F3-BC33-99574575A9F0}><C:\Program Files\Internet Explorer\PowerDn.Rel>  []
    <{A277029C-72FF-4034-BDF0-3EEFB000EDB9}><C:\WINDOWS\system32\ainngipc.dll>  [File is missing]
    <{56DC9407-E92D-4151-ADA7-8DC644B6C5ED}><C:\WINDOWS\system32\lmdcpkgn.dll>  [File is missing]
    <{D0BF4F89-A9E9-4154-BAD5-CED384F803BE}><C:\WINDOWS\system32\dgbfkfop.dll>  [File is missing]
    <{07698EBD-B04C-4419-B71E-6251F07DF4C5}><C:\WINDOWS\system32\gnmpoebd.dll>  [File is missing]
    <{7532CB93-84BE-4B4B-A6E8-B2728357E035}><C:\WINDOWS\system32\nljicbpj.dll>  [File is missing]
    <{9EF8DEC9-2E6C-4EE1-BE21-14FC8A825A24}><C:\WINDOWS\system32\pefodecp.dll>  [File is missing]
    <{C95F08DE-4FAA-43E2-8E71-DCEBBB2F40B9}><C:\WINDOWS\system32\cplfgode.dll>  [File is missing]
    <{DE7C4017-1C35-4E47-B872-DA08D71D25D2}><C:\WINDOWS\system32\denckghn.dll>  [File is missing]
    <{A7C1DF5B-6E0A-44B4-AC40-839B5C5B5F2B}><C:\WINDOWS\system32\anchdflb.dll>  [File is missing]
    <{A70E7DBE-D2CF-452D-B0A4-F296A454046D}><C:\WINDOWS\system32\angendbe.dll>  [File is missing]
    <{455CD00F-9193-4115-8792-928D266B84CE}><C:\WINDOWS\system32\kllcdggf.dll>  [File is missing]
    <{B2A2D641-4A75-428F-B9C7-11A8D889DF3F}><C:\WINDOWS\system32\biaidmkh.dll>  []
    <{CD9C5551-90F5-4734-9FB4-8CFDD2312C20}><C:\WINDOWS\system32\cdpclllh.dll>  [File is missing]
    <{CA45D2FC-CD9F-47A6-B3CE-24D529089EF1}><C:\WINDOWS\system32\cakldifc.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <A277029C><C:\WINDOWS\system32\ainngipc.dll>  [File is missing]
    <56DC9407><C:\WINDOWS\system32\lmdcpkgn.dll>  [File is missing]
    <D0BF4F89><C:\WINDOWS\system32\dgbfkfop.dll>  [File is missing]
    <07698EBD><C:\WINDOWS\system32\gnmpoebd.dll>  [File is missing]
    <7532CB93><C:\WINDOWS\system32\nljicbpj.dll>  [File is missing]
    <9EF8DEC9><C:\WINDOWS\system32\pefodecp.dll>  [File is missing]
    <C95F08DE><C:\WINDOWS\system32\cplfgode.dll>  [File is missing]
    <DE7C4017><C:\WINDOWS\system32\denckghn.dll>  [File is missing]
    <A7C1DF5B><C:\WINDOWS\system32\anchdflb.dll>  [File is missing]
    <A70E7DBE><C:\WINDOWS\system32\angendbe.dll>  [File is missing]
    <455CD00F><C:\WINDOWS\system32\kllcdggf.dll>  [File is missing]
    <B2A2D641><C:\WINDOWS\system32\biaidmkh.dll>  []
    <CD9C5551><C:\WINDOWS\system32\cdpclllh.dll>  [File is missing]
    <CA45D2FC><C:\WINDOWS\system32\cakldifc.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
    <IFEO[CCenter.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
    <IFEO[RavMonD.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
    <IFEO[RavTask.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwSrv.exe]
    <IFEO[RfwSrv.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe]
    <IFEO[RsTray.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]

驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>
[oreans32 / oreans32][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>


浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[]
  {BE9DEA3A-893C-43F3-BC33-99574575A9F0} <C:\Program Files\Internet Explorer\PowerDn.Rel, N/A>
本帖被评分 1 次
最后编辑baohe 最后编辑于 2009-02-05 22:03:40
gototop
 

回复:求助(附SRENG)

补充%SystemRoot%\system32\themeui.dll
不知道对不对@
gototop
 

回复: 求助(附SRENG)

三楼的  分系统分区含.exe的各个目录下的usp10.dll  以及  删除所有病毒文件后,重置HOSTS,打扫注册表垃圾:              是什么意思
gototop
 

回复: 求助(附SRENG)

哈哈,第一款病毒跟我的一样,看来不单是我一个中毒,还有很多兄弟姐妹,嘿嘿!
妈的屁,多么好的节日,却找来这些病毒,搞得很不开心!
这个制毒者一定要将他抽出来!
gototop
 

回复: 求助(附SRENG)



引用:
原帖由 hnwxc00 于 2009-2-5 22:25:00 发表
三楼的  分系统分区含.exe的各个目录下的usp10.dll  以及  删除所有病毒文件后,重置HOSTS,打扫注册表垃圾:              是什么意思


可以下载狙剑并用狙剑查找体积小于7K的usp10.dll,然后进到c:\windows\system32\drivers\etc目录找到hosts文件,右键点击hosts文件时按住shift键.选择打开方式为notepad.
查看并修改其中内容.

附件附件:

下载次数:243
文件类型:application/octet-stream
文件大小:
上传时间:2009-2-5 22:47:45
描述:rar


对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 

回复: 求助(附SRENG)



引用:
原帖由 baohe 于 2009-2-5 21:53:00 发表
中了usp10.dll木马群,但没杀净。
建议用下面这个帖子的工具删除下列病毒文件并将可能被病毒替换的系统文件复原(详见该帖内容):
http://bbs.ikaka.com/showtopic-8592394.aspx
C:\WINDOWS\system32\anymie360.e


谢谢猫叔.因为新上手的一款工具中的设置问题.我没注意瑞星和迅雷被劫持.--

现在已经在IFEO上加上了颜色
最后编辑文物2 最后编辑于 2009-02-05 22:57:15

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 

回复: 求助(附SRENG)

打扫注册表垃圾:后面一堆英文字母,这是什么意思
gototop
 

回复: 求助(附SRENG)



引用:
原帖由 hnwxc00 于 2009-2-5 22:54:00 发表
打扫注册表垃圾:后面一堆英文字母,这是什么意思


病毒写的注册表项。用SRENG等工具一一删除。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT