中了病毒 msrs.exe，autorun.inf 急~！！ bbs.ikaka.com

bobo828 - 2008-8-8 12:33:00

不知道什么时候中的病毒，今天早上忽然发现系统时间被更改到2004年，但是月份和日期没有变化，卡卡不断弹出提示说有msrs的病毒，但是却始终无法完全删除。我进入资源管理器，在每个盘符根目录下删除了msrs.exe 和autorun.inf. 可是还是不能完全删除。
后来上网搜索说使用冰刃，可是我还是不太会用，希望有高手可以指点。
我的瑞星天天都全盘查杀病毒，可是去无法找出这个病毒，更不用说能杀死了，这是为什么啊？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

aaccbbdd - 2008-8-8 12:34:00

请上传病毒样本，谢谢合作

建议上传日志
重装系统也会重复感染

扫日志前关闭无用进程，如QQ，迅雷及播放器程序

到大的软件站，如天空，太平洋，下载2.6正式版版的SReng（推荐）

http://www.skycn.com/soft/45002.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)
日志以附件上传，贴到反病毒区或流行病毒区
PS：如主程序SREng**.exe无法运行,导致无法扫描日志

将主程序改名为小狮子.bat

bobo828 - 2008-8-8 12:38:00

等于没有说阿。。。我不太明白什么叫上传病毒样本那个要怎么上传啊。

天马▲行空 - 2008-8-8 12:40:00

MSRS.EXE，U盘传播的下载者。（或局域网ARP传播）

行为：
1，修改系统时间为三年前，干掉咔吧的监控，结束咔吧。
2，映像劫持常用杀毒软件和注册表，如360等
3，替换掉系统更新程序
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
4，访问ddd.xnibi.com下载病毒
5，添加启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
explorer c:\windows\system32\wuauclt.exe
3个驱动
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
6,C:\windows\system32\auth.dll注入svchost.exe，干掉咔吧
7，利用cacls.exe修改修改文件访问控制权限
cacls.exe c:\windows\system32\packet.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\npf.sys /e /p everyone:f
cacls.exe c:\windows\system32\npptools.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
cacls.exe c:\windows\system32\wanpacket.dll /e /p everyone:f
cacls.exe c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f

解决办法：
1，打开icesword，设置为禁止线进程创建。
2，进程：
结束o.exe，MSRS.EXE
打开svchost.exe，强制卸载c:\windows\system32\auth.dll

打开winlogon.exe，强制卸载C:\WINDOWS\TEMP\~MY73.TMP

3，文件：
强制删除
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
把禁止线进程创建取消。
4，用FileForceKiller清空所有temp目录和
c:\windows\system32\wnlnet.dll
c:\windows\system32\auth.dll
c:\windows\system32\wnnlnet.dll
c:\windows\system32\ehhrma.dll
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
C:\WINDOWS\SYSTEM32\WINLIB .DLL
C:\WINDOWS\TEMP\~MY73.TMP
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION dATA\MICROSOFT\PCTOOLS\PCTOOLS_2008731_7866.DLL
C:\WINDOWS\SYSTEM32\D3D1CAPS.SRG
C:\WINDOWS\TEMP\MIRCRGFX.DAT
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\pctools.dll
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
删除各个分区根目录下面的autorun.inf，MSRS.EXE
5，打开autoruns。
删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run键值
和HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
6，复制正常的wuauclt.exe文件覆盖
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
7，用sreng和windows清理助手扫描修复系统
删除中机器有可能蓝屏

aaccbbdd - 2008-8-8 12:43:00

引用:

原帖由 bobo828 于 2008-8-8 12:38:00 发表
等于没有说阿。。。我不太明白什么叫上传病毒样本那个要怎么上传啊。

用WINRAR压缩文件病毒文件
上传

日志也上传

点右下角的回复按钮即可

bobo828 - 2008-8-8 12:48:00

给提供一个冰刃的下载地址吧，我上网搜索到的都是1.22版本，里面的界面我不是很明白怎么操作。找不到o.exe，而且我结束了MSRS.EXE之后，也不知道打开svchost.exe，强制卸载c:\windows\system32\auth.dll和打开winlogon.exe，强制卸载C:\WINDOWS\TEMP\~MY73.TMP。能给更详细一点的说明吗？

bobo828 - 2008-8-8 12:50:00

好的我办公室电脑中的病毒，现在我在家，等下午上班上传，谢谢大侠~！！！

rainyblue - 2008-8-8 13:04:00

楼主还是先上传个日志吧，你电脑可能不止中了这种病毒，病毒变种快，可能同一种病毒但是病毒文件名字也不尽相同。所以还是上传一个Sreng日志，具体问题具体分析吧

bobo828 - 2008-8-8 14:43:00

谢谢

附件: autorun.rar

附件: MSCS.rar

附件: rslog.txt

bobo828 - 2008-8-8 14:48:00

SREng/智能扫描

附件: SREngLOG.log

rainyblue - 2008-8-8 15:20:00

请使用Xdelbox删除以下文件（关于Xdelbox的下载使用请参考http://bbs.ikaka.com/showtopic-8442813.aspx）
C:\WINDOWS\system32\midimapmy.dll
C:\WINDOWS\system32\midimapcq.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\midimaptl.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\midimapwl.dll
C:\WINDOWS\system32\rijxbkin.dll
C:\963d29e0fc67dcf6.dat
C:\MSCS.PIF
D:\MSCS.PIF
E:\MSCS.PIF
F:\MSCS.PIF
G:\MSCS.PIF
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\autorun.inf

使用Sreng在注册表启动项目中将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
<AppInit_DLLs><> 里面的除了kmon.dl外的dll清除

bobo828 - 2008-8-8 15:39:00

Xdelbox中选择重起删除文件电脑无法关机我用reset重新启动提示从windows进入还是从Xdelbox进入从windows进入后病毒依然存在

bobo828 - 2008-8-8 15:59:00

重复执行了一次选在重启删除充气成功。但是使用Sreng在注册表启动项目中将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
<AppInit_DLLs><> 里面的除了kmon.dl外的dll清除这一步我不明白而且在打开网页的过程中以然后弹出卡卡的提示，说有病毒。

bobo828 - 2008-8-8 16:03:00

清除 <AppInit_DLLs><> 里面的除了kmon.dl外的dll的时候软件说不能执行

1/2理想 - 2008-8-8 16:05:00

用xdelbox删除以下文件
下载地址： http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0 XDELBOX1.7支持奥运版
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，勾选抑制再生
导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\WINIO.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\rijxbkin.dll
C:\963d29e0fc67dcf6.dat
C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE
C:\WINDOWS\system32\midimapcq.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\midimaptl.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\midimapwl.dll
C:\MSCS.PIF
D:\MSCS.PIF
E:\MSCS.PIF
F:\MSCS.PIF
G:\MSCS.PIF
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\autorun.inf

sreng->启动项目-》注册表，删除
<{4F4F0064-71E0-4f0d-0015-708476C7815F}><C:\WINDOWS\system32\midimapmy.dll> [File is missing]
<{528DF602-9541-A985-210A-984A698C6F25}><> [N/A]
<{4F4F0064-71E0-4f0d-0023-708476C7815F}><C:\WINDOWS\system32\midimapcq.dll> [File is missing]
<{4F4F0064-71E0-4f0d-0005-708476C7815F}><C:\WINDOWS\system32\midimapzx.dll> [File is missing]
<{4F4F0064-71E0-4f0d-0017-708476C7815F}><C:\WINDOWS\system32\midimaptl.dll> [File is missing]
<{5A069845-2036-6084-9054-6087502480A5}><C:\WINDOWS\system32\ozfyebyt.dll> [File is missing]
<{4F4F0064-71E0-4f0d-0004-708476C7815F}><C:\WINDOWS\system32\midimapwl.dll> [File is missing]
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><> [N/A]
<{25FD6584-698F-BCD2-602C-698745210352}><C:\WIN<midimapmy><C:\WINDOWS\system32\midimapmy.dll> [File is missing]
<midimapcq><C:\WINDOWS\system32\midimapcq.dll> [File is missing]
<midimapzx><C:\WINDOWS\system32\midimapzx.dll> [File is missing]
<midimaptl><C:\WINDOWS\system32\midimaptl.dll> [File is missing]
<midimapwl><C:\WINDOWS\system32\midimapwl.dll> [File is missing]DOWS\system32\rijxbkin.dll> [File is missing]
sreng->启动项目-》注册表，选中appinit_dlls=》编辑，将值编辑为kmon.dll

sreng->启动项目-》服务-》win32服务应用程序，删除
sreng->启动项目-》启动文件夹，删除
[Adobe Gamma Loader]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Adobe Gamma Loader.lnk --> C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE [Adobe Systems, Inc.]><N>
sreng-》启动项目-》服务-》驱动程序，删除
[963d29e0fc67dcf6 / 963d29e0fc67dcf6][Stopped/Manual Start]
<\??\C:\963d29e0fc67dcf6.dat><N/A>

sreng-》系统修复-》浏览器加载项，删除
[]
{25FD6584-698F-BCD2-602C-698745210352} <C:\WINDOWS\system32\rijxbkin.dll, N/A>
[]
{5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
{9C3C2C08-C494-4F52-AE94-85156A447D43} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{166B1BCA-3F9C-11CF-8075-444553540000} <, >
[]
{25FD6584-698F-BCD2-602C-698745210352} <C:\WINDOWS\system32\rijxbkin.dll, N/A>
[]
{528DF602-9541-A985-210A-984A698C6F25} <, >
[]
{5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <, >
[]
{FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <, >
[]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <, >
下面的东东自己测下
C:\WINDOWS\htpatch.exe
http://www.virscan.org/

如图：选中抑制再生

bobo828 - 2008-8-8 16:32:00

sreng->启动项目-》服务-》win32服务应用程序，删除
你没有说要删除什么。。。

bobo828 - 2008-8-8 16:44:00

要下班了各位大侠多多指教我下星期一上班继续和病毒斗争。。。

rainyblue - 2008-8-8 17:21:00

引用:

原帖由 bobo828 于 2008-8-8 15:59:00 发表
重复执行了一次选在重启删除充气成功。但是使用Sreng在注册表启动项目中将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
<AppInit_DLLs><> 里面的除了kmon.dl外的dll清除这一步我不明白而且在打开网页的过程中以然后弹出卡卡的提

你的意思不是叫你删除<AppInit_DLLs>这个键值而是要你将
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
<AppInit_DLLs><jkhjsd.dll,fydgky.dll,dehkj.dll,dtrgjy.dll,fgffthui.dll,thyut.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thef.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yjfef.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,kmon.dll> [N/A]
改成<AppInit_DLLs><kmon.dll>

1/2理想 - 2008-8-8 19:45:00

win32服务应用程序里面没有要删的不好意思~进行了操作之后问题解决了吗

bobo828 - 2008-8-8 19:55:00

如果win32服务应用程序里面没有要删的那么其他的步骤我已经操作了仍然没有改善。。。。

aaccbbdd - 2008-8-8 20:00:00

请上传新日志

粉碎星辰 - 2008-8-10 23:46:00

直接冰刃吧~

bobo828 - 2008-8-11 8:06:00

这是今天早上的日志

附件: SREngLOG.log

rainyblue - 2008-8-11 10:03:00

楼主你AppInit_DLLs这个键值还没有改

bobo828 - 2008-8-11 10:05:00

改了但是好像改不过来

bobo828 - 2008-8-11 10:07:00

选中批量修改还是逐个手动修改阿？我全部选上一起改的是不是不对

aaccbbdd - 2008-8-11 10:09:00

启动项目－－注册表之如下项删除：
[CDBurn] <>
[{25FD6584-698F-BCD2-602C-698745210352}] <>
[{25FD6584-698F-BCD2-602C-698745210352}] <>
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}] <>
[{528DF602-9541-A985-210A-984A698C6F25}] <>
注意该项[AppInit_DLLs]修改：把<jkhjsd.dll,fydgky.dll,dehkj.dll,dtrgjy.dll,fgffthui.dll,thyut.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thef.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yjfef.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,kmon.dll>修改为<kmon.dll>

bobo828 - 2008-8-11 10:11:00

注意该项[AppInit_DLLs]修改：把<jkhjsd.dll,fydgky.dll,dehkj.dll,dtrgjy.dll,fgffthui.dll,thyut.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thef.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yjfef.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,kmon.dll>修改为<kmon.dll>

选中批量修改还是逐个手动修改阿？我全部选上一起改的是不是不对

而且我逐个修改的时候好像改不了啊编辑之后没看到那个数据有变化

aaccbbdd - 2008-8-11 10:21:00

下载清理助手清理系统
http://www.arswp.com/download.html

下载金山清理专家http://www.duba.net/qing/
金山清理专家-安全百宝箱-系统修复工具
修复下

并做下在线诊断看看

bobo828 - 2008-8-11 10:55:00

下载了清理助手清理系统清理之后还是[AppInit_DLLs]修改不成功我再下载金山看看
新日志上传

附件: SREngLOG.log

瑞星卡卡安全论坛