瑞星卡卡安全论坛

附件: SREngLOG.log (2008-8-9 22:07:28, 50.95 K)
该附件被下载次数 158

用户系
统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer)

谢谢各位的无私帮助，经过将近4个小时的扫描，终于在安全模式下用aa给的大蜘蛛，进行了一次全盘杀毒。但愿不会再反复了。在此对给予我无私帮助的天月、aacc、还有by 等朋友致以谢意，谢谢各位的倾力相助。

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\mttwfh.dll
c:\windows\system32\nssjx.dll
c:\progra~1\baidu\iexp\bdsrhook.dll
c:\windows\system32\wdcrwv.dll
C:\windows\system32\hbmhly.dll
C:\windows\system32\hbinject.exe
c:\progra~1\baidu\iexp\bdsrhook.dll
c:\windows\system32\drivers\hbkernel.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[AppInit_DLLs]修改：把<HBmhly.dll>修改为<>即清空
[HBService]    <HBInject.exe>
[BIE]    <RUNDLL32.EXE C:\PROGRA~1\baidu\iexp\BDSrHook.dll,Rundll32>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
先处理
干死病毒再说

首先谢谢雄霸。方法试了两次，在SRENG的注册表项下
使用编辑无法修改键值，BIE项也删除不了啊。急死我了，怎么办？

文件删除了没？

新的日志看看

昨晚搞好了，今天创建了一个受限帐户，用其登陆后又出现了清理助手双击消失的问题，

附件: SREngLOG.log

:default3: 我用的是Avast和木马清除大师2.90及瑞星杀毒软件

开着QQ扫日志吧
我等你

另外，我换用了管理员帐户登陆了

附件: SREngLOG.log

建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\Program Files\BeatTrojan\unrar.dll
（木马的真面目，删除前用附件提取个文件谢谢合作）
如删还不掉，请DOS下杀毒

换账户后没什么东东病毒运行了


ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
全盘杀毒
（注意甄别大蜘蛛杀毒结果，误杀较多）

附件: 文_件_提_取_工_具.rar

C:\Program Files\Tencent\QQ\uzzqei.dll这文件的存在

就必须重启电脑

再进系统，开启QQ登陆界面

继续扫描最新系统日志来

然后就可以轻松为你解决了。

AA：我刚才试了一下，在管理员帐户下双击助手等杀软就不会消失。而且又扫描出了两个默认挂钩的木马，这是什么意思？我都晕掉了。再次对你的辛苦表示感谢哈。

先把病毒文件提取了

用Xdelbox将病毒文件删除了

就用杀毒软件杀毒吧

受不了这样求助的

我10楼说的没注意到？？？

习惯了
经常在金山，360灰头土脸
就不去了:default14:

给aa样品提取刚才误操作了，马上用另一个帐户登陆再提取一次试试。

附件: SREngLOG.log

不好意思啊天月，刚才忙着扫描，删除，用的时间长了些。别介意啊
:default7:

样本呢？

样本。

附件: ArPick.zip

:default3: 不知道是不是你要的东西，刚才一着急，先删除了，不过没有勾选“抑制再生”。

汗
没抑制再生:default3:

按照天月版主
再弄日志

用管理员还是受限帐户登陆？

各来一次
其实
C:\Program Files\BeatTrojan\unrar.dll被删除后

杀毒软件就能用了

新的日志。不好意思给你和天月添麻烦了。（这是管理员帐户登陆后的日志）

附件: SREngLOG.log

建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\Program Files\Tencent\QQ\uzzqei.dll
C:\Program Files\Tencent\QQ\WSOCK32.DLL

就这两个罪魁祸首呀

如删不掉文件
就看我签名里
教手工杀毒的帖子
的43楼

谢谢你aa，这两个还用提取吗？受限帐户登陆后，avast不停的报毒，又提示其它程序在用，无法处理。

附件: SREngLOG.log

病毒全貌
建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\Program Files\Tencent\QQ\uzzqei.dll
C:\Program Files\Tencent\QQ\WSOCK32.DLL
C:\WINDOWS\system32\fkkbp.dll
C:\WINDOWS\system32\rwwnb.dl
C:\WINDOWS\system32\99245.dat
C:\WINDOWS\system32\99210.dat
C:\WINDOWS\system32\pdajd\lsass.exe

PS：删除后
从XDELBOX文件夹的里的backup文件夹面找到lsass.exe
打包压缩后发上来

我找不到这个文件夹，我的XDELBOX是解压后就直接运行的。搜索找到一个backkups文件夹里有个lsass.exe.bak不知道是不是你要的？现在看问题好像是解决了，真的很感激你的无私帮助。其他还有什么我能做的，我一定会尽力。对刚才的样本提取没弄好，再次道歉。

是的

再弄日志看看吧
开QQ

QQ不能用了 ，可能需要重装。

附件: SREngLOG1.log

QQ提示初始化失败，重装QQ有什么要注意的吗？算了，你不用回答这个问题了，问了你那么多，我都不好意思了。:default3: