系统故障，怀疑中毒…… bbs.ikaka.com

isave - 2008-10-9 12:58:00

刚进系统时提示缺MFC71.DLL，上网下载该文件后放到指定SYSTEM32里，自动丢失，然后重启继续报
系统运行中不停的弹出一个英文提示，蓝色的对话框头上写的是“没有软盘”，可是电脑压根就没有软驱。。。
暂时发现伴随的症状有不能运行msconfig、注册表、瑞星，日期被乱改等
请各位大侠继续指点，小弟先拜谢！
我现在去运行RepairTool.exe试试

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

超级游戏迷 - 2008-10-9 13:09:00

可能中毒

建议：

扫描上传SRENG日志，以附件方式发

K歌 - 2008-10-9 13:11:00

我建议使用瑞星最新版本全盘杀毒。把结果说一下。

isave - 2008-10-9 13:28:00

我成功运行了RepairTool.exe，发现了一些可疑进程、成功修改了注册表，发现了一些木马，最后弹出有升级瑞星提示的对话框，点完成，没有出现瑞星升级窗口，点瑞星杀毒软件，继续弹出缺MFC71.DLL文件，并且软件界面残缺不全，无法杀毒。
我把下载的MFC71.DLL文件复制到SYSTEM32中，继续丢失。
另，出现一个新状况：进不去盘符，双击或右键—打开，都出现选择程序框。。。
最后，我用RsDetect.exe生成了“瑞星听诊信息.htm”，正准备上报。。。
麻烦各位大侠再帮忙研究下，毕竟等上报的回信是很漫长的过程。。。
先发这里让大侠们看看

附件: 瑞星听诊信息.RAR

dfds1253 - 2008-10-9 13:33:00

可以来分sreng日志吗？？

isave - 2008-10-9 13:40:00

晕刚才的附件传错了,是另一个电脑的...大侠们不要看了...sorry...
sreng日志?怎么生成?:default1:

isave - 2008-10-9 14:00:00

找到生成sreng日志的软件了，不过运行不了，提示说另一个程序正在使用。。我用后台自动运行的那个版本扫描生成了，发过来供大侠们指点

附件: SREngLogEm.LOG

K歌 - 2008-10-9 14:06:00

可疑文件：
\system32\shmgrate.exe
C:\WINDOWS\system32\obj2.sys>
可以备份后删除。

另外，这2个如果楼主用不到他们就卸载他们吧：
网站排名工具条
IE搜索工具条

isave - 2008-10-9 14:19:00

谢谢K歌，我去鼓捣鼓捣

isave - 2008-10-9 14:28:00

K歌，我把shmgrate.exe复制到桌面后删除系统目录下的，可是10秒左右又冒出来了。
第二个文件obj2.sys没有找到，隐藏里也没有，类似名的只有一个objsel.dll

帅哥阿福 - 2008-10-9 14:41:00

C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\mlantgs.dll
C:\WINDOWS\system32\B.PIF
C:\WINDOWS\system32\wacclt.exe
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\H.PIF
以及各个根目录下的隐藏文件QQ.PIF
提交到可疑样本交流区，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

K歌 - 2008-10-9 15:10:00

按照11楼给的方法试试。

dfds1253 - 2008-10-9 15:43:00

中机器狗，3.pif IFEO

dfds1253 - 2008-10-9 16:02:00

删除以下文件
<AntiARPStandalone>
<C:\Program Files\AntiARP Stand-aloneEdition\AntiArp.exe>
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
<\??\C:\WINDOWS\system32\obj2.sys><N/A>
删除以下插件和dll
网站排名工具条BHO]

{489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, (Signed) www.chinarank.org.cn>

[]
[Info cache]

{285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Kler\pbhealth.dll, thousands of phones. >
[CAdLogic Object]

{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[IE搜索工具条]

{BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>

[网站排名工具条]
C:\WINDOWS\system32\winlib .dll
C:\H.PIF
[C:\WINDOWS\system32\mlantgs.dll]
[C:\WINDOWS\system32\B.PIF]
[C:\WINDOWS\system32\wacclt.exe]
[C:\WINDOWS\system32\A6Wizard\A6WIZARDDLL.DLL]
后台运行2.6.16.1161.exe
是什么
还有清除
c，d，e，f里的auto，和QQ.PIF
删除c:\windows\system32\wuauclt.exe
c:\windows\system32\dllcache\wuauclt.exe
去正常的电脑里拷贝 ,用冰刃删除
由于时间有限，如有问题，及时反馈上论坛

isave - 2008-10-9 16:20:00

C:\WINDOWS\system32\winlib .dll 没找到
C:\WINDOWS\system32\mlantgs.dll 不让删
C:\WINDOWS\system32\B.PIF 不让删（进程结束不了）
C:\WINDOWS\system32\wacclt.exe 不让删
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE 删掉后蹦出让插入系统盘的对话框—取消—说新程序让系统不稳定的意思
C:\H.PIF 不让删（进程结束不了）
以及各个根目录下的隐藏文件QQ.PIF 全删了

该怎么办呢?
我明天先按14楼的方法试试去,今天要下班了,谢谢各位,有好的建议一定要告诉我啊

瑞星卡卡安全论坛