瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » [AppInit_DLLs]请问这个怎么修改呢?实在不懂,真的。
牛狼星 - 2008-9-6 0:47:00
重启后使用SREng修复下面各项
启动项目 -- 注册表之如下项删除:
[slbiopfs2.dll]    <C:\WINDOWS\system32\slbiopfs2.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[inetresdxc.dll]    <C:\WINDOWS\system32\inetresdxc.dll>
[{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}]    <C:\WINDOWS\system32\slbiopfs2.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{BB4E3499-0132-4d3f-849A-2BE1B26D84E1}]    <C:\WINDOWS\system32\inetresdxc.dll>
[kcien12]    <kncer12.exe>
[HBService]    <explore.exe>
注意该项[AppInit_DLLs]修改:把<aaa.dll,HBmhly.dll lensch.dll biroas.dll mduaey.dll nvipat.dll comboaus.dll cxpop.dll ringtte.dll kandaof.dll wllame.dll inserse.dll candayl.dll thermaltinc.dll johandy.dll cmbdaf.dll qxfel.dll catower.dll micsus.dll,kmon.dll>修改为<>即清空

是按“编辑”,然后把“值”这一项改为“即清空”吗?我这样做好像不对。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
超级游戏迷 - 2008-9-6 0:53:00


引用:
是按“编辑”,然后把“值”这一项改为“即清空”吗?


不是的,是清空所有字符串……抱歉没认真看你的帖……:default2:
也可进注册表编辑器操作,把该注册表值项的“数据”内容清空,效果是一样的……:default7:
牛狼星 - 2008-9-6 1:08:00
这位朋友我试一下看,我又看了一下进程里。还是有一个“落雪病毒”在运行。
牛狼星 - 2008-9-6 1:09:00
奇怪了。我用SREng
启动项目
怎么看不到[AppInit_DLLs]这个东西了?
我QQ是403034503
轩辕小聪 - 2008-9-6 1:14:00


引用:
原帖由 牛狼星 于 2008-9-6 1:09:00 发表
奇怪了。我用SREng
启动项目
怎么看不到[AppInit_DLLs]这个东西了?
我QQ是403034503

如果你已经清空了,那SREng就会自动隐藏这个已经正常的项目,看不到就对了。
牛狼星 - 2008-9-6 1:16:00
但是为什么进程里还是看到WINLOGON.EXE.
那这个病毒是还没清楚了哦
魔法学徒 - 2008-9-6 1:21:00


引用:
原帖由 牛狼星 于 2008-9-6 1:16:00 发表
但是为什么进程里还是看到WINLOGON.EXE.
那这个病毒是还没清楚了哦

单从名字上看这个是系统正常进程,你是怎么判断这个是病毒的?
轩辕小聪 - 2008-9-6 1:22:00
进程中是否只有一个WINLOGON.EXE?如果是,而且用户名是SYSTEM,那么它就是系统关键进程,根本不是落雪。
牛狼星 - 2008-9-6 1:27:00


引用:
原帖由 轩辕小聪 于 2008-9-6 1:22:00 发表
进程中是否只有一个WINLOGON.EXE?如果是,而且用户名是SYSTEM,那么它就是系统关键进程,根本不是落雪。



我进程里只有一个WINLOGON.exe
是不是说明现在这个病毒就没有了呢?

这是我的一份

附件: SREngLOG.log
牛狼星 - 2008-9-6 1:27:00
帮我看一看可以吗?感谢了。
mopery - 2008-9-6 2:19:00
用sreng
删除启动项目=>注册表
    <xolehlpjh.dll><C:\WINDOWS\system32\xolehlpjh.dll>  [File is missing]
    <lweurqhx.dll><>  [N/A]
    <slbiopfs2.dll><C:\WINDOWS\system32\slbiopfs2.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe]
    <IFEO[AntiArp.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe]
    <IFEO[conime.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DrvAnti.exe]
    <IFEO[DrvAnti.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwadins.exe]
    <IFEO[drwadins.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebscd.exe]
    <IFEO[drwebscd.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe]
    <IFEO[drwebupw.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\filemon.exe]
    <IFEO[filemon.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFRing3.exe]
    <IFEO[GFRing3.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.exe]
    <IFEO[GFUpd.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.exe]
    <IFEO[GuardField.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OllyDBG.EXE]
    <IFEO[OllyDBG.EXE]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OllyICE.EXE]
    <IFEO[OllyICE.EXE]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavXP.exe]
    <IFEO[RavXP.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RawCopy.exe]
    <IFEO[RawCopy.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regmon.exe]
    <IFEO[regmon.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegTool.exe]
    <IFEO[RegTool.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
    <IFEO[rfwstub.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderml.exe]
    <IFEO[spiderml.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spidernt.exe]
    <IFEO[spidernt.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderui.exe]
    <IFEO[spiderui.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spml_set.exe]
    <IFEO[spml_set.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgar.exe]
    <IFEO[taskmgar.exe]><ntsd -d>  [N/A]


用卡卡助手清理下恶意软件..
牛狼星 - 2008-9-6 2:26:00
我看到很多IFEO的。
请问删这些是为什么呢?
我想知道为什么,能解释一下吗?谢谢你。
mopery - 2008-9-6 2:29:00
IFEO
windows映像劫持

下载附件,解压,复制文件到 C:\WINDOWS\System32\ 路径.

附件: alg.rar
牛狼星 - 2008-9-6 2:30:00


引用:
原帖由 mopery 于 2008-9-6 2:19:00 发表
用sreng
删除启动项目=>注册表
    <xolehlpjh.dll><C:\WINDOWS\system32\xolehlpjh.dll>  [File is missing]
    <lweurqhx.dll><>  [N/A]
    <slbiopfs2.dll><C:\WINDOW......


这是删除后新的log,您请看看。

附件: SREngLOG1.log
mopery - 2008-9-6 2:33:00
看我上面的回复..

用卡卡上网助手清理下恶意软件 有个CNNIC
牛狼星 - 2008-9-6 2:56:00
太好了。刚才我用金山清理专家测试了一下健康指数,由开始的3回到100了。
我想再确认一下是不是真的没有病毒,我应该怎么做呢?
还发一份LOG给你看看吗?
牛狼星 - 2008-9-6 3:06:00


引用:
原帖由 mopery 于 2008-9-6 2:33:00 发表
看我上面的回复..

用卡卡上网助手清理下恶意软件 有个CNNIC


这是清除以后扫描的LOG,我想您帮我看看机子还有那些问题,最主要是还有病毒吗?

附件: SREngLOG2.log
mopery - 2008-9-6 3:33:00
抱歉,刚在看电影..
用金山清理专家清理恶意软件 CNNIC 应该在正常软件的选项里..
其他一切正常..
牛狼星 - 2008-9-6 3:34:00
哇,您可来了。等了好久。困死人了。
请问我应该怎么样做才能确认机子上没有病毒了呢?
牛狼星 - 2008-9-6 3:39:00
害怕这些病毒。我在这里截不了图上来。我看到进程里,老是有几个程序在运行,以前查毒经常查出来跟这几个程序好相似,截不了图发上来给你看。瑞星好像查不出毒了,刚才更新过的。是不是就意味着没有毒了呢?
牛狼星 - 2008-9-6 3:50:00
截不出来图。我把那些程序打出来。
映像名称                          用户名
AGENTSVR.EXE                        请不要尝试破译密码
taskmgr.exe                                请不要尝试破译密码
EXPLORER.EXE                        请不要尝试破译密码
TXPlatform.exe                            请不要尝试破译密码
RavTask.exe                                请不要尝试破译密码
RavMon.exe                                  请不要尝试破译密码
IEXPLORE.EXE                            请不要尝试破译密码
Rav.exe                                          请不要尝试破译密码
RsAgent.exe                                请不要尝试破译密码
knownsvr.exe                              请不要尝试破译密码

另外我很讨厌这个用户名,我能不能把它改掉呢?
天月来了 - 2008-9-6 9:35:00
进程名都是正常的

请不要因为有不认识的进程就怀疑什么。

因为这样的怀疑一般需要有一个基础性的东西

就是你自己必须熟悉自己的系统,然后才能没事看看任务管理器中的进程。

否则你就是自己没事找罪受了。

Windows的任务管理器看不出具体进程的文件路径。

我建议你去我置顶贴,用费尔进程管理器查看吧。

那样你可以直观的看到每个进程的文件路径,平时常看,常记记。

你不记这些,那你还是会到处怀疑。

而这样的怀疑只会给你自己带去更多的麻烦而已。
牛狼星 - 2008-9-6 11:10:00


引用:
原帖由 天月来了 于 2008-9-6 9:35:00 发表
进程名都是正常的

请不要因为有不认识的进程就怀疑什么。

因为这样的怀疑一般需要有一个基础性的东西

就是你自己必须熟悉自己的系统,然后才能没事看看任务管理器中的进程。

否则你就是自己没事找罪受了。

Windows的任务管理器看不出具体进程的文件路径。

我建议你去我置顶贴,用费尔进程管理器查看吧。

那样你可以直观的看到每个进程的文件路径,平时常看,常记记。


版主你好,我想知道怎样确认我机子里是否真的根除了病毒,我用最新的瑞星杀过两次,没有发现有毒了。这是我刚扫描的LOG,你请看看。

附件: SREngLOG3.log
aaccbbdd - 2008-9-6 11:14:00
呵呵
病毒驱动

SRENG-启动项目 -- 服务-- 驱动程序之如下项删除:
(选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>
牛狼星 - 2008-9-6 18:10:00
RootKit.Win32.RESSDT.eh

染了这个毒会有什么后果呢。这个是什么病毒啊?又染上了。我在百度里搜索不到这个毒。
1
查看完整版本: [AppInit_DLLs]请问这个怎么修改呢?实在不懂,真的。
© 2000 - 2026 Rising Corp. Ltd.