瑞星卡卡安全论坛

用xd删除后，使用sreng又被删除了。。:default2:

我那修改的2.4呢？？

还被删除？？

你得弄正确呀

就是这个呀：
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527

修改版的没问题，我是说那个新的2.6的被删除了

那就修改版的来扫日志

快
因为病毒变名字了

得再来一次，就可以清理了

好 正在扫描

报告

附件: SREngLOG.rar

你需要在防火墙里先阻止这个访问网络：
[PID: 736][C:\WINDOWS\system32\mmc.exe]  [N/A, ]

你的系统文件已被病毒替换

很麻烦的
还不能直接替换，一替换会进不了系统的。

你先解决安全软件不能运行再说：

下载我提供的附件，解压后运行

选择“快速扫描”，当扫描到一个项目后，立即“停止扫描”，选择“执行清理”。

提示重启电脑时，立即重启，就可以了。 等着自动清理吧。

不论清理结果怎样，清理完后一定要立即重启电脑，尝试进安全模式下继续清理一次。

附件内附操作说明图，可以参照操作。

（注意：其他求助者请不要随意下载使用，此附件只对楼主有用，其他人没什么用的）

重启清理完以后，去下载最新SRENG工具：http://www.kztechs.com/sreng/download.html
扫描个新的2.6版的SRENG日志来打扫残余。

附件: 123.rar

可是 我现在的防火墙打不开啊

你可能需要去别的相同系统找：
user32.dll  winhlp32.exe      mmc.exe

这三个文件复制来替换掉你自己系统里C:\WINDOWS\system32文件夹里的相同的三文件才能将就

我就这还不能保证绝对可行

看你自己的了

因为这木马群这几天变的太快

恶搞系统太多了，没办法的。

那就断网清理

清理完以后，就可以开启防火墙了

然后再来求助吧

这个有AV.又像机器狗.lsass是主体.位置与svchost都处在同一目录下.只是文件夹不同.你自己找一下..断开网操作.用xdelbox删除报告中的可疑文件后.
清空一下临时文件夹.把被修改的那三个.在pe光盘下进行替换.正常模式下替换可能是导致不正常.注册表中的键值也要修改,否则无法复制.粘贴. 注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters
  注册表值： ServiceDll
  新的值:
      类型: REG_EXPAND_SZ
      值： C:\WINDOWS\system32\srpcss.dll
  先前值:
      类型: REG_EXPAND_SZ
      值： %SystemRoot%\system32\rpcss.dll
修改成先前值.

QQ安装目录下的都有查看有无隐藏的dll.删除掉.QQ游戏目录下也要删除隐藏dll.大小都一样.
最后打开c盘.删除根目录下的隐藏文件夹.数字开头的.
还有system32下面的dat.时间为病毒生成时间.隐藏的dll.可疑的exe(只有一个).简单方法使用360进行清理一下.

最后,传给你一个安全软件.查看有无可疑注入.方法自己学习一下.

不好意思.无法上传附件.

建议你系统重装吧

昨晚弄了半天也没弄好。附件中是最新的日志 ，应该怎么办呢

附件: SREngLOG.rar

JAVQHC已经清除。
1、从网上下载系统文件替换工具，从正常的电脑中拷贝user32.dll 和winhlp32.exe替换被病毒修改的同名文件。
2、下载windows清理助手清理一遍（可以处理41楼所说的问题）。
3、重启
4、看进程中有没有mmc.exe，如果没有的话就从正常的电脑中拷贝mmc.exe 替换被病毒修改的同名文件。

先做完上面的操作

然后用我昨天的附件，去安全模式下继续清理一下

重启电脑后
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：

启动项目
注册表
    <HBService><HBInject.exe>  []
    <{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll>  [N/A]
    <{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}><C:\WINDOWS\system32\certmgrkd.dll>  [N/A]
    <{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll>  [N/A]
    <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\avicapwm.dll>  [N/A]
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll>  [N/A]
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll>  [N/A]
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll>  [N/A]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\dispexcb.dll>  [N/A]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\adsntzt.dll>  [N/A]
    <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  [N/A]
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [N/A]
    <{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll>  [N/A]
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  [N/A]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  [N/A]
    <{3A698452-C5D8-C584-C256-C264C987C5A3}><C:\WINDOWS\Fonts\ijdycpaw.dll>  [N/A]
    <{00180018-0018-0018-0018-00180018BB15}><C:\WINDOWS\system32\mstimewd.dll>  [N/A]
    <ljvrqylkp><>  [N/A]
    <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll>  [N/A]
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  [N/A]
    <pwtwjzol.dll><>  [N/A]
    <dispexcb.dll><C:\WINDOWS\system32\dispexcb.dll>  [N/A]
    <cliconfgzx.dll><C:\WINDOWS\system32\cliconfgzx.dll>  [N/A]
    <mstimewd.dll><C:\WINDOWS\system32\mstimewd.dll>  [N/A]
    <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll>  [N/A]
    <imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll>  [N/A]
    <avicapwm.dll><C:\WINDOWS\system32\avicapwm.dll>  [N/A]
    <lweurqhx.dll><C:\WINDOWS\system32\lweurqhx.dll>  [N/A]
    <bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll>  [N/A]
    <roqkoxwe.dll><>  [N/A]
    <chectoek.dll><>  [N/A]
    <myfqqugr.dll><>  [N/A]
    <iaamixla.dll><>  [N/A]
    <seiaobaj.dll><>  [N/A]
    <bgehxsdj.dll><>  [N/A]
    <pvkclaez.dll><>  [N/A]
    <owrksoxc.dll><>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>

[j / j][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\j.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

最好重做系统，我这里有两台电脑都是mmc.exe被感染病毒，基本上即使能够清除，系统也起不来了，mmc.exe initial 错误。
两台机器都需要重装

那是因为你清理之前没正确替换系统文件user32.dll 和winhlp32.exe

和病毒斗争了一天终于杀掉了。:default6:
在这里要感谢 天云一剑 天月来了 kekao byxxdrls 等 对我的帮助，谢谢了。
尤其是 天月来了 花费了大量的时间帮我解决问题，衷心的表示非常的感谢

你还是去下载最新SRENG工具：http://www.kztechs.com/sreng/download.html

扫描个新的2.6版的SRENG日志来看看吧。

这是我的最新的日志，麻烦你看一下还有问题吗

附件: SREngLOG.rar

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <N/A><C:\WINDOWS\system32\dwzcslg\svchost.exe /t>  [File is missing]
————————————————————————————————————
这个是删除不了？还是没删除？？
==================================
驱动程序
[j / j][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\j.sys><N/A>


这里官网下载冰刃，在“文件”中找那文件强制删除：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

删除：C:\WINDOWS\system32\drivers\j.sys

难道这是你有用的什么软件的驱动？

是我刚才漏删了，这是新的日志

附件: SREngLOG.rar

好啦

看不出什么了

你动手能力不错

:default7:

太好了，呵呵。
还是靠你不耐其烦的帮助，真的非常感谢。
说来很惭愧，我也是学信息安全的，可病毒方面还真一点不懂，以后还要多来论坛学习