瑞星卡卡安全论坛

前几天，本人电脑中毒，用瑞星杀完毒之后发现无法打开任务管理器，但是C:\WINDOWS\system32 下的taskmgr.exe还在，但是双击之后没反应，使用快捷键也打不开，只能改名字打开，运行gpedit.msc发现系统没有禁止任务管理器，快捷键ctrl+alt+del也没有禁止使用，进程也多了不明进程systome.exe。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

LZ您好，我已经仔细阅读并分析过您的问题，希望以下方法可以帮到您

1、使用卡卡上网安全助手6.0一键搞定http://download.rising.com.cn/for_down/kakatool/KaKaSetupv6.exe

2、上传System Repair Engineer扫描日志
下载地址http://www.kztechs.com/sreng/sreng2.zip
操作方法：
1、下载后解压缩，运行“SREngLdr.EXE”；
2、如果无法打开请参考http://bbs.ikaka.com/showtopic-8442813.aspx#3637414
3、打开后依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

如果您的问题没有得到解决，请及时跟帖反馈，我们会在第一时间跟进您的问题
如果您的问题已经得到解决，请将问题标题前置【已解决】，感谢您的理解

建议如下操作：
在组策略里面禁用任务管理器，然后将附件中的taskmgr.exe文件复制到system32目录下，如果提示重复就选择替换，待重新启动之后再将任务管理器启用。

附件: taskmgr.rar

谢谢了

不知道能不能解决啊

按2楼说的上日志吧……

帮我也看看，任务管理器打不开，瑞星无法查杀，卡卡打不开，安全模式进不去，不时的安装流氓软件等等等等!!!!!该怎么办？？？？

附件: SREngLOG.log

应该是遭到映像劫持了！

建议用autoruns删除劫持项！

中毒已深，表现在：

1、初始化动态链接库注册表启动项注入大量盗号木马DLL文件；

2、系统文件被替换，已知的有两个：
      c:\windows\system32\userinit.exe
      c:\windows\system32\rpcss.dll
[注]第一个文件不能删除，只能替换，否则开机无法进入系统；第二个文件是系统重要服务的映像文件，估计你的机已经不能复制粘贴；

3、安全工具和杀软均被病毒创建的IFEO项劫持，无法运行，如果是金山的话软件安装都不能正常运行；

4、大量病毒DLL文件插入系统的核心进程，比如以下“正在运行的进程”中的表现（所有DLL文件均为木马）：
[PID: 892 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\csrss.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh08023.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh09022.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh12014.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh19030.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh28013.dll]  [N/A, ]

建议：手工杀毒过于烦琐，而且一旦操作失误将导致无法进入操作系统，一旦漏杀可能导致系统再次感染病毒（木马太多了），推荐格式化C盘重装系统解决。

最后说一句：有问题请新开帖求助，不要在别人的主题帖下跟帖求助。

auturuns也被屏蔽了，需要改名运行，但即便搞定了IFEO，也只是消灭了冰山一角……:default21:

建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备）

C:\WINDOWS\system32\csrss.dll
C:\WINDOWS\system32\sh08023.dll
C:\WINDOWS\system32\sh09022.dll
C:\WINDOWS\system32\sh12014.dll
C:\WINDOWS\system32\sh19030.dll
C:\WINDOWS\system32\sh28013.dll
C:\WINDOWS\system32\sinx32.dll
C:\WINDOWS\system32\anyone360.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\FD809C22.dll
C:\WINDOWS\system32\099AA005.dll
C:\WINDOWS\system32\3C8BB74E.dll
C:\WINDOWS\system32\AA8391C8.dll
C:\WINDOWS\system32\C557903B.dll
C:\WINDOWS\system32\040C4808.dll
C:\WINDOWS\system32\HBCHIBI.dll
C:\WINDOWS\system32\7378E660.dll
C:\WINDOWS\system32\4D04AF68.dll
C:\WINDOWS\system32\HBZHUXIAN.dll
C:\WINDOWS\system32\1EE24F39.dll
C:\WINDOWS\system32\5D65DE5C.dll
C:\WINDOWS\system32\54FF0ABF.dll
C:\WINDOWS\system32\anyone360.dll
C:\WINDOWS\system32\CFE66F34.dll
C:\WINDOWS\system32\HBFS2.dll
C:\WINDOWS\system32\HBKDXY.dll
C:\WINDOWS\system32\HBWOW.dll
C:\WINDOWS\system32\HBTW2.dll
C:\WINDOWS\system32\HBASKTAO.dll
C:\WINDOWS\system32\HBZG.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\A565E9A8.dll
C:\WINDOWS\system32\BA6E41B6.dll
C:\WINDOWS\system32\F63449F7.dll
C:\WINDOWS\system32\2712130B.dll
C:\WINDOWS\system32\B9C8F327.dll
C:\WINDOWS\system32\A0F5CE88.dll
C:\WINDOWS\system32\HBWULIN2.dll
C:\WINDOWS\system32\HBCHIBI.dll
C:\WINDOWS\system32\HBFS2.dll
C:\WINDOWS\system32\HBKDXY.dll
C:\WINDOWS\system32\HBWOW.dll
C:\WINDOWS\system32\HBTW2.dll
C:\WINDOWS\system32\HBASKTAO.dll
C:\WINDOWS\system32\HBZG.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\A565E9A8.dll
C:\WINDOWS\system32\BA6E41B6.dll
C:\WINDOWS\system32\2712130B.dll
C:\WINDOWS\system32\HBZHUXIAN.dll
C:\WINDOWS\system32\B9C8F327.dll
C:\WINDOWS\system32\A0F5CE88.dll
C:\WINDOWS\system32\HBWULIN2.dll
C:\WINDOWS\system32\System.exe
C:\WINDOWS\System32\Drivers\msiffei.sys


删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{CFE66F34-ED69-4C27-BAB8-23037189F5B6}><C:\WINDOWS\system32\CFE66F34.dll>  []
    <{A565E9A8-09B7-42FD-BDD6-4F3C5B0561D7}><C:\WINDOWS\system32\A565E9A8.dll>  []
    <{BA6E41B6-10F8-4FCB-88F6-724CFBB3F064}><C:\WINDOWS\system32\BA6E41B6.dll>  []
    <{2712130B-58CF-4839-8071-F999AC163781}><C:\WINDOWS\system32\2712130B.dll>  []
    <{B9C8F327-DAD0-4A65-831D-C6DF6C497EA8}><C:\WINDOWS\system32\B9C8F327.dll>  []
    <{A0F5CE88-4ADA-4219-A130-0E43D9067D11}><C:\WINDOWS\system32\A0F5CE88.dll>  []
    <{FD83747A-3422-4193-ABD7-582B51328A80}><C:\WINDOWS\system32\FD83747A.dll>  []
    <{5B4B0ECA-8C96-4C8A-9A97-6363FC796515}><C:\WINDOWS\system32\5B4B0ECA.dll>  []
    <{BE81A7AF-C67F-405E-A880-B362249F1E5B}><C:\WINDOWS\system32\BE81A7AF.dll>  []
    <{8D2CFD3C-EB96-452C-AEBC-D4C5168C0785}><C:\WINDOWS\system32\8D2CFD3C.dll>  []
    <{E7D9FB3C-7FE4-4AF8-8EAA-9D6EF62DF0B9}><C:\WINDOWS\system32\E7D9FB3C.dll>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <CFE66F34><C:\WINDOWS\system32\CFE66F34.dll>  []
    <A565E9A8><C:\WINDOWS\system32\A565E9A8.dll>  []
    <BA6E41B6><C:\WINDOWS\system32\BA6E41B6.dll>  []
    <2712130B><C:\WINDOWS\system32\2712130B.dll>  []
    <B9C8F327><C:\WINDOWS\system32\B9C8F327.dll>  []
    <A0F5CE88><C:\WINDOWS\system32\A0F5CE88.dll>  []
    <FD83747A><C:\WINDOWS\system32\FD83747A.dll>  []
    <5B4B0ECA><C:\WINDOWS\system32\5B4B0ECA.dll>  []
    <BE81A7AF><C:\WINDOWS\system32\BE81A7AF.dll>  []
    <8D2CFD3C><C:\WINDOWS\system32\8D2CFD3C.dll>  []
    <E7D9FB3C><C:\WINDOWS\system32\E7D9FB3C.dll>  []



运行services.msc，打开服务管理，下列服务停止(完成下面的操作后再打开）：
[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k rpcss-->c:\windows\system32\rpcss.dll><N/A>
[DCOM Server Process Launcher / DcomLaunch][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A>


将附件里的2个文件分别解压到C:\WINDOWS\system32\dllcache和C:\windows\system32目录下。

用附件里的IFEO.rar修复劫持。

用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

附件: userinit.rar

附件: rpcss.rar

附件: IFEO.rar

以上操作建议在断网环境下进行。