瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 杀毒软件又被劫持了,高手帮帮忙(附日志)

1   1  /  1  页   跳转

[已解决] 杀毒软件又被劫持了,高手帮帮忙(附日志)

收藏
ForeverN
头像
拙长孩提狮
  • 帖子:120
  • 注册: 2008-02-12
  • 来自:
发表于: 2009-04-16 23:56 | 只看楼主 短消息 资料
字号: 1楼

杀毒软件又被劫持了,高手帮帮忙(附日志)

杀毒软件又被劫持了,上网时还总是弹出一些乱七八糟的页面,高手帮帮忙,谢谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)





谢谢大家的帮助,问题解决了

附件附件:

下载次数:178
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-16 23:55:49
描述:log

最后编辑ForeverN 最后编辑于 2009-04-18 17:42:17
分享到:
gototop
 
chuanshao
头像
拙长孩提狮
  • 帖子:119
  • 注册: 2009-02-11
  • 来自:
发表于: 2009-04-17 08:48 | 短消息 资料
字号: 2楼

回复: 杀毒软件又被劫持了,高手帮帮忙(附日志)

如果下面的方法没有完全解决,请下载最新版sreng,再扫个日志,你用的sreng版本有点旧 http://www.kztechs.com/sreng/download.html



1.建议使用XDelBox删除以下文件:(XDelBox1.8),系统盘非C盘的或是vista系统的建议下载费尔木马强力清除助手删除以下文件:
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后记得勾选抑制其再生,在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作(重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files)。运行xdelbox前最好卸载所有可移动存储设备。

c:\windows\system32\aahhcdlf.dll
c:\windows\system32\hfhceccg.dll
c:\windows\system32\lfhceoom.dll
c:\program files\internet explorer\powerja.ask
c:\windows\fonts\bqgc5yhmsd4yd.fon
c:\windows\fonts\dpgu7zke.fon
c:\windows\fonts\mbyd9jxuhkys.fon
c:\windows\fonts\xgv7tbnvd3yvn.fon
c:\windows\system32\08223b03.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\3d144530.dll
c:\windows\system32\56bc86c7.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\76b9ba7a.dll
c:\windows\system32\bmsg6pdmd4ht.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\efc0c52cc1.dll
c:\windows\system32\erdznufbk0zf.dll
c:\windows\system32\gggg6szabkcd.dll
c:\windows\system32\j9mfqxkj.dll
c:\windows\system32\mp5nywqewtxx.dll
c:\windows\system32\stg4wdmetw2fp.dll
c:\windows\system32\mtlrd.dll
c:\windows\system32\nuk.dll
c:\windows\system32\ryl.dll
c:\windows\system32\ufqcu5.dll
c:\windows\system32\ws0gwmz.dll
c:\windows\system32\ybkeadwhb3vf4pe.dll
c:\docume~1\admini~1\locals~1\temp\tmp.tmp
c:\windows\system32\msconfig.exe
c:\windows\system32\tagg.exe
c:\windows\system32\mmutilse.exe
c:\windows\system32\mcvcea.exe
c:\documents and settings\all users\application data\microsoft\media player\wmp\mtlrd.sys
c:\windows\system32\drivers\krjhyzl.sys
c:\windows\system32\tdyt.dll
c:\program files\common files\pushware\cpush.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
注意该项[AppInit_DLLs]修改:把<kmon.dll,aahhcdlf.dll,lfhceoom.dll,hfhceccg.dll>修改为<kmon.dll>
[{028A997C-4262-4107-BD46-2ABBC6143E8C}]    <C:\WINDOWS\system32\efc0c52cc1.dll>
[{609758CB-54E6-4C21-B57C-3407D9E232E8}]    <C:\WINDOWS\system32\YbKeaDWhb3vF4pe.dll>
[{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}]    <C:\WINDOWS\system32\56BC86C7.dll>
[{3E090A14-E55E-4BA3-97C2-505907EAC7A7}]    <C:\WINDOWS\fonts\Dpgu7ZKe.fon>
[{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}]    <C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>
[{76B9BA7A-81D0-4979-8598-8471F2AB5186}]    <C:\WINDOWS\system32\76B9BA7A.dll>
[{704C3595-DB85-40F6-A601-8D6F346907BD}]    <C:\WINDOWS\system32\704C3595.dll>
[{B5CB70CB-3DEE-4E2E-9911-4870175EAB78}]    <C:\WINDOWS\system32\gggg6sZAbKcD.dll>
[{B2106E92-8F18-496C-BCA3-DA17DCE5713E}]    <C:\WINDOWS\fonts\Xgv7TbnvD3yvn.fon>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{3A5700C3-2847-4CBE-A3E5-F0C394690C9A}]    <C:\WINDOWS\system32\wS0GWMZ.dll>
[{DE00760F-DC9F-46C2-9D4E-61B5BB810C51}]    <C:\WINDOWS\system32\STG4WdmetW2FP.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[{C722AD57-35DA-4460-8353-328372F32AB2}]    <C:\WINDOWS\system32\ufQCU5.dll>
[{08CBFE20-8DC8-4195-B8E2-DD66F860469D}]    <C:\Program Files\Internet Explorer\PowerJa.ask>
[{B2E84C04-C03E-4998-B62B-3D3FCBAA7B33}]    <C:\WINDOWS\fonts\MbYd9jxUHkYS.fon>
[{669029EE-81FB-496F-9AC4-FE838B16F231}]    <C:\WINDOWS\system32\erdznUfbK0ZF.dll>
[{3FA3CAD1-C5D8-48B9-800A-A7B2D2A23044}]    <C:\WINDOWS\system32\J9mfQxkJ.dll>
[{737858A9-9AEA-4838-9B49-54DA731F7F37}]    <C:\WINDOWS\system32\BMsg6pdMD4ht.dll>
[{1381B721-B066-44A0-8D9A-AD02A8C29783}]    <C:\WINDOWS\system32\mP5NywQewTxx.dll>
[{3D144530-43DA-47CC-B7C7-A3A9F3B9A6B2}]    <C:\WINDOWS\system32\3D144530.dll>
[{2EF0D734-21FD-4225-A1A2-BCD296182AAF}]    <C:\WINDOWS\system32\2EF0D734.dll>
[{AA11CD5F-DB9F-47EC-BA76-7DE5580E05A6}]    <C:\WINDOWS\system32\aahhcdlf.dll>
[{5F1CE886-3244-4F99-A0AA-9EC42DC23A28}]    <C:\WINDOWS\system32\lfhceoom.dll>
[{1F1CECC0-8747-4D2F-A1C5-16A18FEFCD0F}]    <C:\WINDOWS\system32\hfhceccg.dll>
[msconfig]    <C:\WINDOWS\system32\msconfig.exe /ALL>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[tagg / tagg]    <C:\WINDOWS\system32\tagg.exe>
[COM+ System Licensing / COM+ System Licensing]    <C:\WINDOWS\system32\mmutilse.exe runsrv /name:"COM+ System Licensing" /prinum:"32" /cmdline:"C:\WINDOWS\system32\mcvcea.exe">

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[mtlrd / mtlrd]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys>
[twam / twam]    <\SystemRoot\system32\drivers\krjhyzl.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\PowerJa.ask>
[]    <C:\WINDOWS\system32\TDYT.dll>
[CAdLogic Object]    <C:\Program Files\Common Files\PushWare\cpush.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析:chuanshao
时间:2009-4-17

下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp.rar  (升级后使用)

下载临时文件清理工具清理临时文件
http://www.dodudou.com/down/ATF-Cleaner-cn.exe
gototop
 
ForeverN
头像
拙长孩提狮
  • 帖子:120
  • 注册: 2008-02-12
  • 来自:
发表于: 2009-04-17 20:30 | 只看楼主 短消息 资料
字号: 3楼

回复: 杀毒软件又被劫持了,高手帮帮忙(附日志)

谢谢LS,现在安全软件被劫持的问题已经解决了,但是现在杀毒软件还是不能升级,实时监控还变成了小红伞,而且每次开机时,总会莫名其妙的弹出“通讯簿”这个程序
我现在又用新版本的sreng2扫描了一篇日志,哪位大虾在帮我看看,谢谢!

附件附件:

文件名:SREngLOG417.log
下载次数:136
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-17 20:29:33
描述:log

最后编辑ForeverN 最后编辑于 2009-04-17 20:31:35
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-04-17 20:35 | 短消息 资料
字号: 4楼

回复:杀毒软件又被劫持了,高手帮帮忙(附日志)

再清理下
http://cu003.www.duba.net/duba/tools/dubatools/install.exe
如果有软件禁用
在重启杀毒后还原禁止项
详细说明:
http://bbs.duba.net/thread-21988813-1-1.html
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-04-17 21:42 | 短消息 资料
字号: 5楼

回复 3F ForeverN 的帖子

1.建议使用XDelBox(Xdelbox解压后运行)删除以下文件:(XDelBox1.8下载)
使用说明:(先勾选抑制再生)删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,(在待删除文件列表里点击右键选择从剪贴板导入不检查路径,)选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\vntu2waqucza6.dll
c:\windows\system32\nj4gyd3rubj57.dll
c:\windows\system32\pev7ms4gcukr.dll
c:\windows\system32\360kill.bat
c:\windows\system32\lpigpjln.dll
c:\windows\system32\oejbmnbp.dll
c:\windows\system32\ryl.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{0D267113-499A-4EEF-998D-C45731C1B313}]    <C:\WINDOWS\system32\VnTU2WAqUcZA6.dll>
[{AA4CD878-B510-4508-83EB-DE968E358D15}]    <C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll>
[{16E42559-9ED5-46FD-878E-DC5D42746BB5}]    <C:\WINDOWS\system32\peV7mS4gcukR.dll>
[kvonreboot]    <C:\WINDOWS\system32\360Kill.bat>
[{59209357-3EEE-4134-A8EC-A2B70766DCC9}]    <C:\WINDOWS\system32\lpigpjln.dll>
[{8E3B67B9-483B-450F-BDBF-AF5FB9CDF85B}]    <C:\WINDOWS\system32\oejbmnbp.dll>
[wdq]    <C:\WINDOWS\system32\ryl.dll>
[59209357]    <C:\WINDOWS\system32\lpigpjln.dll>
[8E3B67B9]    <C:\WINDOWS\system32\oejbmnbp.dll>
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT