无耻至极的强悍病毒 bbs.ikaka.com

Netherlands - 2008-6-15 10:54:00

如果不是Firefox的话，我很有可能发不了这个贴了，事情是这样的：

昨天晚上我在上网时遭遇病毒报警，当时选择了删除（后证实没用）。今天早晨开机发现系统变慢，打开管理器，同时出现了十个svchost.exe进程，有几个是装逼的“Local Network”等等，一眼看上去就不正常。打开IE，总是跳出广告。一怒之下我删除了本地的TEMP文件夹内的所有文件，并用Windows优化大师清除了3个马。IE不跳窗了，但出现很明显的不响应现象，经常卡死。QQ登录后立即自动退出，视屏文件全部打不开。我转到安全模式后可以打开视屏文件。但正常情况下上述3问题依然存在。高手们，有想法就快告诉我吧！急啊！

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14

天月来了 - 2008-6-15 11:09:00

扫SRENG日志发这论坛来
下载SRENG2.6版：http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

（同时注意SRENG工具的入口点提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

Netherlands - 2008-6-15 11:17:00

出现一个问题，SRENG的汉字我的电脑显示出来是问号

天月来了 - 2008-6-15 11:20:00

你先扫描么

实在不行：

这里官网下载瑞星听诊器：放桌面，改名运行，扫出来的日志也自动生成在桌面上，压缩发这论坛来。
http://it.rising.com.cn/Channels/Service/2006-07/1153115164d21020.shtml

Netherlands - 2008-6-15 11:26:00

日志在这里，我看是乱码，可能其他人的电脑可以看

附件: OPS.log

Netherlands - 2008-6-15 12:26:00

版主，你也来看一眼吧。FlowerCode的blog我已经看了一遍，基本上摸不着头脑

天月来了 - 2008-6-15 14:35:00

因为你这是Vista系统。
所以不知道能否成功。

注意：下面要你删除的文件我实在不认识，你得自己看文件属性认真判断了。

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\Windows\system32\nnnmkHBr.dll
C:\Windows\system32\xdmmcpij.dll
C:\Windows\xkefqtgs.dll
C:\Windows\rnopbfgt.dll
C:\Windows\system32\qomlkhfF.dll
C:\Windows\system32\sngdceoj.dll
C:\Windows\system32\apphel.dll

不论删除结果如何继续下面操作。

如果删除不了，或费尔启动不了，可以考虑试试这工具：

这里下载360文件粉碎工具，删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html
——————————————————————————————————————————
或者你直接去找这几个文件，改个名，重启电脑试试。

其他的，我已难帮你了。

Netherlands - 2008-6-15 22:36:00

谢谢你！无论结果如何，这都是莫大的帮助了！但是我想问一下，成功消灭这些木马的标准是什么？问什么你说Vista系统不能保证成功呢？今天开机时，我的Firefox字体全部被改掉了，这木马真是害人！

Netherlands - 2008-6-15 22:45:00

我刚试了一下，删除了一个文件，2个说reboot什么的，4个invalid。你贴的360粉碎机确定没问题吗？我的Avast总说里面的一个dll是木马Win32.Trojan-gen

Netherlands - 2008-6-16 9:45:00

IE问题基本解决，但QQ和资源管理器崩溃的问题仍然存在

天月来了 - 2008-6-16 10:15:00

继续查看文件是否删除成功

至于AVAST么，它一贯喜欢报我们国内的各样东西。

愿意的话，再弄新日志来，看其是否清理完。

Netherlands - 2008-6-16 11:49:00

新报告在附件内，我这次关闭了MSN，边栏，Daemon tools，应该会简化不少

附件: OPS2.log

天月来了 - 2008-6-16 11:59:00

我还是不认识下面的四个文件，应该是很重要的四个文件，能搞掉他们，就差不多了。

用Avast禁止下面文件的读取、启动，删除、修改等。

C:\Windows\system32\byXQJbXP.dll
C:\Windows\system32\jvgsxims.dll
C:\Windows\system32\aWoOgHYo.dll
C:\Windows\system32\ecvvclnk.dll

重启电脑，看看怎样。

如果Avast没这类功能。

你可能需要考虑一次性在DOS下删除他们了。

也就是说删除他们必须是系统没开着的情况下，才可能删除掉。

天月来了 - 2008-6-16 12:01:00

在系统开着的情况下，没法将他们从内存中卸除的。

所以他们在电脑关机时，可能回写入系统中了。

所以还是纯DOS下应该可以解决问题。

Netherlands - 2008-6-16 12:28:00

请问具体如何操作？

Netherlands - 2008-6-16 13:15:00

亲爱的天月版主，我对你的敬意无法用言语来表达！！播放器工作了！QQ不退出了！
那4个DLL有2个成功删除了，2个未知。（安全模式下）我不知是否仍有漏网之鱼，附上最新的日志，请麻烦你再帮我检查一遍，谢谢！

附件: OPS3.log

天月来了 - 2008-6-16 14:25:00

现在就剩注册表里的残余项目了。

你试试：

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：

（或者打开注册表，依路径打开找相应项目删除，删除前备份一下注册表为好）

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]（这行就是注册表路径，下面是项目）
<MSServer><rundll32.exe C:\Windows\system32\byXQJbXP.dll,#1> [File is missing]
<dece2018><rundll32.exe "C:\Windows\system32\ecvvclnk.dll",b> [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]（这行就是注册表路径，下面是项目）
<{2FB68C59-C098-415B-8563-837B33DD7D0D}><C:\Windows\system32\byXQJbXP.dll> [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]（这行就是注册表路径，下面是项目）
<xkefqtgs><C:\Windows\xkefqtgs.dll> [File is missing]
<rnopbfgt><C:\Windows\rnopbfgt.dll> [File is missing]

—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
[]
{5110DC47-7B8A-4FC7-8591-31511DF9EF77} <C:\Windows\system32\aWoOgHYo.dll, N/A>
[]
{7D48389C-0B98-444A-8B49-DD8EDD230174} <C:\Windows\system32\apphel.dll, N/A>
[]
{A8F25771-1610-4844-966B-B212C247A76C} <C:\Windows\system32\qomlkhfF.dll, N/A>
[]
{7D48389C-0B98-444A-8B49-DD8EDD230174} <C:\Windows\system32\apphel.dll, N/A>
[]
{A8F25771-1610-4844-966B-B212C247A76C} <C:\Windows\system32\qomlkhfF.dll, N/A>

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

其他我帮不了你了

Netherlands - 2008-6-16 21:46:00

系统基本恢复正常了！但是我有一个困惑：为什么我的管理器内仍然有13个svchost.exe进程？这正常吗？

妞妞的父亲 - 2008-6-16 22:07:00

我也想问问，我的进程里有6个svchost.exe

番茄骑士 - 2008-6-16 22:29:00

我的有七个，没有什么问题的！

Netherlands - 2008-6-17 0:12:00

7个还好，13个太变态了

Netherlands - 2008-6-17 8:21:00

伟大的天月啊！给我一个答复吧！13个svchost究竟对不对啊？

天月来了 - 2008-6-17 8:45:00

不知道

一般正常的系统6个至8个。

安装了很多软件后，增加到13个也正常。

例如各种播放器都容易导致它增加的。

还有Vista系统到底平时应该几个，我就不知道了。

其他人说的都是XP系统的。

你不能随意的看别人说什么，就道听途说的折腾。

会死人的:default2:

呵呵！！！！！

Netherlands - 2008-6-17 9:59:00

有个奇怪的问题是explorer.exe这个windows主进程经常崩溃，尤其是当我进入C盘的时候，CPU使用率瞬间到100%，系统停止响应

天月来了 - 2008-6-17 10:02:00

Vista系统只在这论坛很少有人能帮你了。

一般实在不行的，都选择还原系统，或重装系统。

你自己考虑吧。

再扫个最新SRENG日志来，看看你系统是否有新变化

只是试试而已

Netherlands - 2008-6-18 1:07:00

这是目前的报告。今天把本本带出去用，发现电池变得很持久了！以前大概只能用2～3个小时，现在可以在全亮度的情况下跑4个小时开来木马真是害人的东西啊！

顺便问问天月，现在有什么对Vista系统比较有研究的论坛或网站吗？谢谢！

附件: Final.log

天月来了 - 2008-6-18 8:52:00

不知道了，如果我知道哪有网站。我就不可能不懂它了。

日志看不出什么了

病毒么，好玩耶！！

瑞星卡卡安全论坛