瑞星卡卡安全论坛

3929主页被篡改，一个无法修复的病毒（携带木马群）用了一切的杀毒软件都没有用，寻求解决方法，紧急求助！！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

请楼主使用windows清理助手清理系统下载地址：http://www.arswp.com/download.html
如果问题如故请使用sreng扫描系统，日志以附件形式上传，以便我们进一步帮你分析问题，谢谢!
下载地址：http://www.kztechs.com/sreng/download.html
（1）下载后解压缩，运行“srengldr.exe”；
（2）如果无法打开请尝试运行“安全启动.bat”；
（3）打开后依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
（4）选择保存路径，文件名保持默认，直接点击【保存】；
（5）将日志文件srenglog.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭qq、游戏、下载工具、媒体播放器等应用程序。

sreng是什么东西》》》？？？

        System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏，并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的，能够运行在所有主流的 Windows 操作系统上。
        在 System Repair Engineer (SREng) 的帮助下，您可以自己诊断您操作系统可能存在的普遍性问题，即使您是计算机的初学者，您也可以使用 System Repair Engineer (SREng)  的智能扫描功能将您系统的概况生成一份简要的日志，然后将该日志传送给对操作系统熟悉的朋友或网友，在他们的帮助下解决您系统可能存在的问题。

System Repair Engineer 的开发目的是：
提供一个能够较快诊断出系统常见故障的工具。
能够修复大多数常见的故障。
能够生成一个扫描报告。
能够运行于多种操作系统平台下，支持多语言界面。
具备一定的自动检测修复能力。
便于扩充并且能够以最小的代价进行扩充。

我扫描的结果如附近所示意，有哪位高手帮忙解答一下为什么主页没有办法修改了啊，关键问题是这个主页里面有很多木马，譬如会突然跳出一些垃圾网页。谢谢！

附件: SREngLOG-tina.log

问题项目如下：
================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <wimine><C:\WINDOWS\system32\wimine.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe aspxphelp.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{70B0129E-726E-4789-A7C0-5DDC33241E94}><70B0129E.dll>  [N/A]
    <{D7C79813-9233-4AE0-832C-99B2E8019673}><D7C79813.dll>  [N/A]
    <{58FF3024-8A83-4B1A-88E9-302F47646EEE}><58FF3024.dll>  [N/A]
    <{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}><4FBFD5A4.dll>  [N/A]
    <{755D0ED0-3996-4ADB-9B1F-AD8F0E9E4738}><755D0ED0.dll>  [N/A]
    <{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}><F65BDEC7.dll>  [N/A]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>  [N/A]
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><122B901E.dll>  [N/A]
    <{C8FFD223-C0FB-40C5-94A0-FD7891AC18E9}><C8FFD223.dll>  [N/A]
    <{9CA963CA-107C-4089-B0AB-31380F90D7E3}><9CA963CA.dll>  [N/A]
    <{8566F82E-03A4-416E-AEAC-66600D8881F1}><8566F82E.dll>  [N/A]
    <{DA63E650-537C-4042-87BB-9D19D844680B}><DA63E650.dll>  [N/A]
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><E4814792.dll>  [N/A]
    <{66AFCB56-FAA9-42D2-8C72-2767A46C7FA8}><66AFCB56.dll>  [N/A]
    <{BA7EDF54-8408-4B21-B351-7B447B344BA4}><BA7EDF54.dll>  [N/A]
    <{E3367679-4775-4244-A62E-4CFE58FC850B}><E3367679.dll>  [N/A]
    <{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}><B3721C07.dll>  [N/A]
    <{DFEC5CB7-E2AA-4B0A-BEB3-D140E59ED53A}><DFEC5CB7.dll>  [N/A]
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><2EF0D734.dll>  [N/A]
    <{202AEF39-2BFA-4A5F-B526-390FDE0BC675}><C:\Program Files\Internet Explorer\VitnNt64.987>  [File is missing]
    <{C8EB51BC-82D8-4018-8678-5A0580DBA04A}><C8EB51BC.dll>  [N/A]
    <{B05A92B0-F7B0-4E5B-884E-3D5FB2D4552A}><C:\Program Files\Internet Explorer\Vet4321t.321>  [File is missing]
    <{E59C8BDA-489C-47EC-8967-A33C6A730B10}><C:\Program Files\Internet Explorer\Explo2eMt.456>  [File is missing]
    <{9F684DE8-3E87-4174-9033-E02A3DFD8B61}><9F684DE8.dll>  [N/A]
    <{F6A454AE-156A-415E-9F89-3795677A8A91}><C:\Program Files\Internet Explorer\53u1ttMe.2ys>  [File is missing]
    <{43ACDCC5-9009-4AF4-B80A-93BC656EF298}><43ACDCC5.dll>  [N/A]
==================================
服务
[JTFOAK / SDPCN][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k TDOYKUFQBM-->C:\Windows\system32\wbem\YISCNXIUHZMXJTE.DLL><N/A>
==================================
驱动程序
[aliimz / aliimz][Stopped/Manual Start]
  <System32\Drivers\aliimz.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
[nsomxb / nsomxb][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsomxb.sys><N/A>
[tbpfj / tbpfj][Running/Boot Start]
  <\SystemRoot\system32\drivers\tbpfj.sys><N/A>
==================================
浏览器加载项
[]
  {09EB15FA-17D8-4D60-8598-3F549A848DF2} <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho, N/A>
[]
  {202AEF39-2BFA-4A5F-B526-390FDE0BC675} <C:\Program Files\Internet Explorer\VitnNt64.987, N/A>
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Poss\pbhealth.dll, N/A>
[]
  {B05A92B0-F7B0-4E5B-884E-3D5FB2D4552A} <C:\Program Files\Internet Explorer\Vet4321t.321, N/A>
[]
  {E59C8BDA-489C-47EC-8967-A33C6A730B10} <C:\Program Files\Internet Explorer\Explo2eMt.456, N/A>
[]
  {F6A454AE-156A-415E-9F89-3795677A8A91} <C:\Program Files\Internet Explorer\53u1ttMe.2ys, N/A>
[]
  {09EB15FA-17D8-4D60-8598-3F549A848DF2} <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho, N/A>
[]
  {202AEF39-2BFA-4A5F-B526-390FDE0BC675} <C:\Program Files\Internet Explorer\VitnNt64.987, N/A>
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Poss\pbhealth.dll, N/A>
[]
  {B05A92B0-F7B0-4E5B-884E-3D5FB2D4552A} <C:\Program Files\Internet Explorer\Vet4321t.321, N/A>
[]
  {E59C8BDA-489C-47EC-8967-A33C6A730B10} <C:\Program Files\Internet Explorer\Explo2eMt.456, N/A>
[]
  {F6A454AE-156A-415E-9F89-3795677A8A91} <C:\Program Files\Internet Explorer\53u1ttMe.2ys, N/A>
==================================
正在运行的进程
c:\windows\system32\wins\vuienbrey.dll
C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho
==================================

请首先自行鉴定C:\WINDOWS\system32\wimine.exe这个文件是否为正常文件（可将相关文件提交“可疑文件交流区”鉴定），若鉴定为不安全文件，进行如下操作；若鉴定为正常文件，请在操作中不要进行红色项目的操作：


建议在关闭IE和拔掉网线的情况下，用冰刃1.22与SRENG扫描工具配合使用，先运行SRENG扫描工具，再运行冰刃，设置“禁止进线程创建”后，开始如下操作：
====================================
一、用冰刃删除如下文件（找不到的就算了）
C:\windows\aspxphelp.exe
C:\WINDOWS\system32\wimine.exe
C:\Windows\system32\70B0129E.dll
C:\Windows\system32\D7C79813.dll
C:\Windows\system32\58FF3024.dll
C:\Windows\system32\4FBFD5A4.dll
C:\Windows\system32\755D0ED0.dll
C:\Windows\system32\F65BDEC7.dll
C:\Windows\system32\08223B03.dll
C:\Windows\system32\122B901E.dll
C:\Windows\system32\C8FFD223.dll
C:\Windows\system32\9CA963CA.dll
C:\Windows\system32\8566F82E.dll
C:\Windows\system32\DA63E650.dll
C:\Windows\system32\E4814792.dll
C:\Windows\system32\66AFCB56.dll
C:\Windows\system32\BA7EDF54.dll
C:\Windows\system32\E3367679.dll
C:\Windows\system32\B3721C07.dll
C:\Windows\system32\DFEC5CB7.dll
C:\Windows\system32\2EF0D734.dll
C:\Windows\system32\C8EB51BC.dll
C:\Windows\system32\9F684DE8.dll
C:\Windows\system32\43ACDCC5.dll
C:\Windows\system32\wbem\YISCNXIUHZMXJTE.DLL
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\drivers\nsomxb.sys
C:\WINDOWS\system32\drivers\tbpfj.sys
C:\WINDOWS\Poss\pbhealth.dll
C:\windows\system32\wins\vuienbrey.dll
C:\Program Files\Internet Explorer\VitnNt64.987
C:\Program Files\Internet Explorer\Vet4321t.321
C:\Program Files\Internet Explorer\Explo2eMt.456
C:\Program Files\Internet Explorer\53u1ttMe.2ys
C:\Program Files\Internet Explorer\PLUGINS\b54321.bho
==================================
二、用冰刃删除如下注册表启动项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <wimine><C:\WINDOWS\system32\wimine.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{70B0129E-726E-4789-A7C0-5DDC33241E94}>
    <{D7C79813-9233-4AE0-832C-99B2E8019673}>
    <{58FF3024-8A83-4B1A-88E9-302F47646EEE}>
    <{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}>
    <{755D0ED0-3996-4ADB-9B1F-AD8F0E9E4738}>
    <{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}>
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}>
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}>
    <{C8FFD223-C0FB-40C5-94A0-FD7891AC18E9}>
    <{9CA963CA-107C-4089-B0AB-31380F90D7E3}>
    <{8566F82E-03A4-416E-AEAC-66600D8881F1}>
    <{DA63E650-537C-4042-87BB-9D19D844680B}>
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}>
    <{66AFCB56-FAA9-42D2-8C72-2767A46C7FA8}>
    <{BA7EDF54-8408-4B21-B351-7B447B344BA4}>
    <{E3367679-4775-4244-A62E-4CFE58FC850B}>
    <{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}>
    <{DFEC5CB7-E2AA-4B0A-BEB3-D140E59ED53A}>
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}>
    <{202AEF39-2BFA-4A5F-B526-390FDE0BC675}>
    <{C8EB51BC-82D8-4018-8678-5A0580DBA04A}>
    <{B05A92B0-F7B0-4E5B-884E-3D5FB2D4552A}>
    <{E59C8BDA-489C-47EC-8967-A33C6A730B10}>
    <{9F684DE8-3E87-4174-9033-E02A3DFD8B61}>
    <{F6A454AE-156A-415E-9F89-3795677A8A91}>
    <{43ACDCC5-9009-4AF4-B80A-93BC656EF298}>
==================================
三、用冰刃将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell>这个值项的数据由<Explorer.exe aspxphelp.exe>修改为<Explorer.exe>
==================================
四、切换到SRENG扫描工具，删除如下服务项：
[JTFOAK / SDPCN]
==================================
五、在SRENG扫描工具窗口下，删除如下驱动程序：
[aliimz / aliimz]
[HBKernel32 Driver / HBKernel32]
[nsomxb / nsomxb]
[tbpfj / tbpfj]
==================================
六、在SRENG扫描工具窗口下，删除如下浏览器加载项：
[]
  {09EB15FA-17D8-4D60-8598-3F549A848DF2}
[]
  {202AEF39-2BFA-4A5F-B526-390FDE0BC675}
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0}
[]
  {B05A92B0-F7B0-4E5B-884E-3D5FB2D4552A}
[]
  {E59C8BDA-489C-47EC-8967-A33C6A730B10}
[]
  {F6A454AE-156A-415E-9F89-3795677A8A91}
[]
  {09EB15FA-17D8-4D60-8598-3F549A848DF2}
[]
  {202AEF39-2BFA-4A5F-B526-390FDE0BC675}
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0}
[]
  {B05A92B0-F7B0-4E5B-884E-3D5FB2D4552A}
[]
  {E59C8BDA-489C-47EC-8967-A33C6A730B10}
[]
  {F6A454AE-156A-415E-9F89-3795677A8A91}
==================================
七、切换到冰刃窗口，取消“禁止进线程创建”的勾选；
==================================
八、重启电脑。

帮忙看一下吧

附件: SREngLOG_kytt.log

难道你怕羞不敢见人么？干吗非得在别人帖子里跟帖求助？！:default8:

请新开主题帖求助！

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
c:\WINDOWS\system32\drivers\ijapn.sys




启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[ijapn / ijapn][Running/Boot Start]
  <\SystemRoot\system32\drivers\ijapn.sys><N/A>

同一个问题同一种病毒,冇必要多开一张贴浪费资源,大家可以集中讨论吖嘛
我跟贴同怕丑有乜关系啊,我跟帖得罪你咩?
你唔like咪唔好帮我咯,使乜系度数落我啊!?
如果我怕衰怕丑就唔会注册啦..........都唔知咩心态,我都系求助嗟!!!:default1:

十分感谢,我马上就去试试......:default7:


用冰仞也可以,持续感谢!!!!!