瑞星卡卡安全论坛

首先是输入法的问题。目前只剩下微软拼音输入法，还不完全好用。在word、记事本中好用，在excel中不能使用。在ie地址栏、搜索栏可用，页面对话框有的可用，有的不可用。
其次是任务管理器、注册表等包括注册表管理工具中的大部分程序都没有运行效果，只是图标一闪，就没有了结果，CRTL+ALT+DEL和注册表运行regedit，根本如石沉大海，一点反映也没有。
第三是杀毒软件。单位同意使用的Symantec AntiVirus （10.0.1.1000版本）好像无法升级，显示版本一直为2008-07-05，以前还发现自动防护被禁用。不过杀毒软件有自动恢复“自动防护”的选项，也不知道好不好用。这一阵电脑没有防火墙，原来用天网的，现在也装不上了，说是没有管理权限。在安全模式用administrator用户也不行。
第四，曾经在C:\windows\system32下发现若干疑似病毒文件，删除后没有再发现。扫描也未发现病毒。
[用户系统信息]Mozilla/4.0 (IE/7.0;Windows XP)
                                                           
删除的问题文件：wuauclt.exe;conmine.exe;wwuroo.exe;daywwt.exe;update.exe确认的问题文件名由abc、opqr、xyz中的字母随即组成，最少6个字母，最多见到9个字母，后缀为.exe。最开始发生问题的时候也是系统提示这些文件出错，一会一个。举例如下：abopxy.exe;pxyzqa.exe;opxyzq.exe;cxyqra.exeopxyzqa.exe这些文件大小为4k或其倍数，但没有太大的文件。最大的好像24k。用该软件检查提示入口点错误：CreateServiceA详细：被下面模块所HOOK位置模块。目的地址是：0x00134EAC修复后启动还是同样的提示。曾经出过一大堆的入口点错误。无法上传附件。启动项目提示：警告！注册表值 AppInit_DLLs被修改为非正常值（默认值是空）。请检查你的系统中可能存在的计算机病毒。

解决回答：
使用System Repair Engineer扫描日志，将日志作为附件上传上来。下载页面：http://www.kztechs.com/sreng/download.html操作方法：1、下载后解压缩，运行SREngPS.EXE；2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；4、选择保存路径，文件名保持默认，直接点击【保存】；5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

具体解决的方法见附件aaa.txt，SREngPS.EXE报告见report.log

处理结果：
在方法处理中，
第一步完成了，不过报告说有些文件没找到。
第二步第一项删除做完了，可是第二项修改不能执行(现内容为kmon.dll，似乎是卡卡或者瑞星的程序)：
把<C:\WINDOWS\system32\cscript.dll,kmon.dll>修改为<>即清空
这下又麻爪了，不知该怎么处理好。后面禁用服务也没敢进行，另外第三项后面那些看不懂，不知道应该怎么操作：
[IFEO[KPFW32X.exe]]    <ntsd -d>
[IFEO[KPfwSvc.exe]]    <ntsd -d>

第二步没完成，第三步就没敢执行：
启动项目 －－ 服务－－ 驱动程序之如下项禁用：
……

昨天装的瑞星杀毒，今天重起电脑就被禁用了。执行完第一步，瑞星的小绿伞又亮了，可是赛门铁客还是被禁用了。

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

附件: aaa.txt

附件: report.log

哪个说的让你把<C:\WINDOWS\system32\cscript.dll,kmon.dll>修改为空的？？连瑞星的一起清理掉了？
那个映像劫持的，给你个软件运行一下就行了

附件: IFEO映像挟持修复程序.rar

删除文件
C:\WINDOWS\system32\sw64o.dll
C:\WINDOWS\system32\libcurl.dll
C:\WINDOWS\system32\IceSSL32.dll
C:\WINDOWS\system32\bzip2.dl
C:\WINDOWS\system32\ice32.dll
C:\WINDOWS\system32\netwib535.dll
删除启动项  <HBmhly><"C:\WINDOWS\system32\HBmhly.exe" -r>  [File is missing]

附件清除映像劫持

PS：瑞星+诺顿？
计算机死定了

附件: 机器狗&映像劫持修复工具.rar

2楼的执行了，是一个自动执行的，我是不是就可以去禁用服务去了？
3楼的机器狗没找到问题（先运行3楼的程序）

不好意思
下午的时候执行过一个“修复应用程序劫持项.bat”程序，生成两个注册表文件：defeo.reg和RunOnce.reg。不知道怎么用，是不是这个程序已经将劫持项恢复了？不过在执行二楼的程序时，瑞星报告说修改了注册表。

当然要修改注册表了。。。

赛门铁克+瑞星=？？？？？:default3:

c:\windows\system32\drivers\hbkernel.sys
C:\Documents and Settings\ycb\Local Settings\Temp\_tmp.bat

下面这几个
http://www.virustotal.com/zh-cn/
http://virusscan.jotti.org/
上传到这两个网址检测一下
c:\windows\system32\drivers\s9cmf3fzq.sys
c:\windows\system32\drivers\pipjsa64.sys
c:\windows\system32\glacier232.dll
c:\windows\system32\sw64o.dll
c:\windows\system32\drivers\5wmmf.sys
c:\windows\system32\drivers\cegcez59.sys
c:\windows\system32\drivers\atapi.sys


使用XDelBox删除以下文件：(XDelBox，点击后进原创软件下载)
使用说明：复制要删除文件的路径，在XDELBOX待删除文件列表里点击右键选择-从剪贴板导入不检查路径，导入后再右键---立刻重启删除，电脑会重启进入DOS界面进行删除操作。


重启，删完后再使用SRENG

    启动项目-服务-驱动程序，以下删除

[aazwt / aazwt]    <\??\C:\DOCUME~1\Ycb\LOCALS~1\Temp\_tmp.bat>
[yvwtq / yvwtq]    <\??\C:\DOCUME~1\Ycb\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
  启动项目-服务-驱动程序，以下禁用（检测无毒的，不用禁用）
[s9cmf3fz / s9cmf3fzq]    <\SystemRoot\System32\DRIVERS\s9cmf3fzq.sys>
[Process creation detector. / ProcObsrv]    <\??\C:\WINDOWS\system32\ProcObsrv.sys>
[pipjsa6 / pipjsa64]    <\SystemRoot\System32\DRIVERS\pipjsa64.sys>
[cegcez5 / cegcez59]    <\SystemRoot\System32\DRIVERS\cegcez59.sys>
[标准IDE/ESDI硬盘控制器 / atapi]    <\SystemRoot\system32\DRIVERS\atapi.sys>
[5wmmf / 5wmmf]    <\SystemRoot\system32\drivers\5wmmf.sys>

诺顿已经好用了，病毒库已经升级上来了。今天重起动，找到了下面几个病毒。
Drondog,
Infostealer.Gampass,
Downloader,
Torjan.Farfli;
Torjan.Ushedix1.inf;
Backdoor.Graybird;
Backdoor.Trojan,
Downloader.Swif.C
另外有些文件错误，运行chkdsk.exe修复，重启动修复的。
在用SREngLdr.EXE扫描的时候有这样的提示：

SYMANTEC 防篡改警报

目标：  C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
事件信息：  打开 进程
采取的操作：  已禁止
操作过程：  C:\Documents and Settings\Ycb\桌面\sreng2\SREe0ad82be.EXE (PID 2140)
时间：  2008年8月12日  12:47:53

附件为扫描报告。
问题1：是否需要关闭诺顿扫描？
问题2：输入法还不灵光，应该怎样处理？

附件: SREngLOG1.log

另外：
瑞星我昨天下午已经卸载了，任务管理起、注册表都回来了。

瑞星+SYMANTEC的话。你会见到地狱的。
试试能不能进入安全模式，能的话，将两个杀软都卸载。最好再用优化大师等清理下注册表、临时文件之类。然后再试试。
日志没看，估计那么多人，能找个差不多了

扫了两眼日志，残月处理意见如下：
首先运行上面的工具干掉映像挟持，
然后卸载所有杀软；
使用瑞星卡卡、360安全卫士等，扫描恶意软件、木马；
最后重装杀软，升级杀软并杀毒；
最后使用360完整木马库扫描系统。
清理完成后，重扫日志，上传上来再看看

输入法，找一个干净的CTFMON.EXE替换机器里的

谢谢，去试试先

弄完
新日志看看

晕……
找不到删除程序，控制面板的删除程序里面一片空白，诺顿文件夹里也没有。瑞星前天已经删掉了。