瑞星卡卡安全论坛

昨天上网的时候瑞星防火墙弹出什么orz。exe怎么哦，我就按了拒绝，这个时候我有个同学要和我语音，因为电脑比较慢，我也比较着急，后来防火墙又弹了个什么东西出来我就直接允许了，也没看，然后瑞星马上报有毒，问我怎么处理，我也忘了我有没有处理，马上电脑就关机了，我就开安全模式，本想瑞星既然已经把那毒杀了，我就用我下的windows安全助手清理一下，清理出来是windows文件夹下有个conime.exe木马，我看他既然清理了，而且那个好像有段时间没有更新了，我就想重启到正常模式，然后升级再杀。结果我到正常模式后瑞星杀毒软件右下角也没有显示，防火墙还在。不过弹出来windows下的conime.exe想要连接到网络，问是否允许，我就选了总是阻止。然后我打开windows清理助手想要升级，没想到先说网络连接不上，后来就自动被关闭了。然后发现他的执行文件被删，我又想瑞星杀毒软件，也打不开，虽然没有被删掉。我又下了安全卫士，还有毒霸什么东西哦，不是安装不了，就是打开不了，然后我同学建议我用其他的木马查杀软件，包括av终结者专杀等小软件，扫描日志那个小软件，全部执行文件都被删掉了。然后我看到网上说结束orz.exe进程，但是我看到我的进程里没有这个进程，只有在windows的temp文件夹里有个orz.exe文件，被我删掉了，我也用超级兔子把临时文件清理了一下。另外在此之间我想进入安全模式，但是已经进不去了，显示蓝色版面，英文写的：如果你第一次看到这个请重启试试，如果不是请检查是不是有毒........
我想上网查有关病毒消息，百度等网页可以打开，但是像瑞星的在线查杀，毒霸的论坛等，网页就自动跳到yahoo的搜索引擎页面...求各位大虾救命啊~~~

我的主要麻烦就是 好像中了orz.exe病毒，所有杀毒软件打不开，安全模式进不了~~连扫描日志那个是sreng也打不开，执行文件被删~

先谢谢各位大虾了！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

orz.exe是利用flash漏洞溢出网页下载的一个木马。
你可以去360网站下载最新版的机器狗专杀。
然后再用windows清理助手来清理一下系统残余的木马。

谢谢楼上的，问题是现在我根本打不开你说的那些东西啊，要么就是打不开，要么就是执行文件直接被删除

哥们，这个你需要把扩展名字改一下

你最好让你同学下，用qq传过来，穿的时候把名字还有扩展名改一下，传过来之后你在改过来，快速杀，不幸就近安全模式！

扩展名改了怎么运行啊？我同学传给我过的，根本就打不开，安全模式也进不了

把工具文件名改成1.com  1.pif  1.bat  都可以，尝试去运行
或者在压缩包里面去运行。不要解压。

http://bbs.ikaka.com/attachment.aspx?attachmentid=89952
可以下载这个试试，
然后再下载专杀或其他安全工具杀

改了名字也一样~~
123.exe被病毒残酷的删掉了

不解压也这样

报告扫上来了

附件: SREngLogEm.LOG

附件: 瑞星听诊信息.rar

这一步很重要：复制c:\windows\system32\dllcache\explorer.exe文件粘贴到c:\windows\文件夹内，提示替换时选“是”。

1.这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

c:\windows\system32\arjrbler.dll
c:\windows\system32\tisqatyu.dll
c:\windows\system32\szluk.dll
c:\program files\tencent\qq\zgsbru.dll
c:\windows\conime.exe
c:\windows\system32\lijzelit.dll
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\pqzfajke.dll
c:\windows\system32\lymangr.dll
c:\windows\system32\explorer.exe
c:\windows\system32\yel\lsass.exe /t
c:\windows\system32\msobjstl.dll
c:\windows\system32\midimapmy.dll
c:\windows\system32\zxmscwin.dll
c:\windows\system32\akjsckaq.dll
c:\windows\system32\mpwdeapi.dll
c:\windows\system32\lyloadqr.exe
c:\windows\system32\lyloadhr.exe
c:\windows\system32\lyloadmr.exe
c:\windows\system32\lyloadar.exe
c:\windows\system32\lyloador.exe
c:\windows\system32\lyleador.exe
c:\windows\system32\lyloadbr.exe
c:\windows\system32\lyloader.exe
c:\windows\system32\debugfile.exe
c:\documents and settings\administrator\桌面\kbasezs.sys
c:\windows\system32\yzztimsn.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[N/A]     
[msobjstl]
[midimapmy]
[xeqzp]   
[{6A041F13-A111-12A3-B0CF-F99818AA68A6}]   
[{3A908760-8000-4000-A000-9000322145A3}]   
[{55694105-5108-9405-3695-954187462155}]   
[{5C954872-1230-6541-9548-6541025884C5}]   
[{00170017-0017-0017-0017-00170017BB15}]   
[{4C69034A-F45F-D34D-A33A-C33C4D324FC4}]   
[{18093456-9012-4568-9076-908765467181}]   
[{60A345CD-ABCD-EFAB-CDEF-ABCD01020306}]   
注意该项[AppInit_DLLs]修改：把<hjk.dll,gjbhr.dll,ilkyu.dll,yukevg.dll,sergy.dll,ergfwe.dll,hffgth.dll,tyjert.dll,rthkyuk.dll,jkjkll.dll,ghjyer.dll,kergt.dll,fgthde.dll,losdf.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,wergjuk.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,grgrjj.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,,tisqatyu.dll,arjrbler.dll>修改为<>即清空
[MSDQG32]   
[MSDHG32]   
[MSDMG32]   
[MSDSG32]   
[MSDOG32]   
[MSDCG32    ]
[MSDWG32]   
[MSDEG32]   
[IFEO[QQUpdateCenter.exe]]   

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[KBaseZS / KBaseZS] 

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\tisqatyu.dll>
[]    <C:\WINDOWS\system32\akjsckaq.dll>
[]    <C:\WINDOWS\system32\arjrbler.dll>
[]    <C:\WINDOWS\system32\yzztimsn.dll>
[]    <C:\WINDOWS\system32\zxmscwin.dll>
[]    <C:\WINDOWS\system32\pqzfajke.dll>
[]    <C:\WINDOWS\system32\lijzelit.dll>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>
[]    <C:\WINDOWS\system32\arjrbler.dll>
[]    <C:\WINDOWS\system32\akjsckaq.dll>
[]    <C:\WINDOWS\system32\tisqatyu.dll>
[]    <C:\WINDOWS\system32\yzztimsn.dll>
[]    <C:\WINDOWS\system32\zxmscwin.dll>
[]    <C:\WINDOWS\system32\pqzfajke.dll>
[]    <C:\WINDOWS\system32\lijzelit.dll>
[]    <C:\WINDOWS\system32\mpwdeapi.dll>

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

我的新郎

你说听诊器日志里看到有两进程里插入这俩文件：
c:\windows\system32\krdmc.dll
c:\windows\system32\wdpyo.dll

正常么？？？
你平时见过么？？？

我知道你跑的地方多么:default15: