瑞星卡卡安全论坛

自动下载N多网络电视类型的软件，狂放……不多说什么了……日志呈上……

附件: SREngLOG.log (2008-10-16 17:10:20, 34.55 K)
该附件被下载次数 215

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

建议先按游戏学长所说 提取此三个文件打包上传，在按我的去删除。

可疑文件
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system\mvjaj32dla.dll
C:\WINDOWS\Fonts\ravusee.exe
C:\WINDOWS\FONTS\360RPTT.EXE
C:\WINDOWS\Fonts\winlogen.exe
c:\windows\system32\drivers\yywsw.syss
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
c:\windows\system32\drivers\sfafix.sys
c:\windows\system32\drivers\rddan.sys
c:\windows\system32\drivers\HBKernel32.sys
c:\windows\System32\Drivers\aliimz.sys
c:\windows\System32\DRIVERS\aliide.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
tsqdjpix.dll
uuxqcios.dll
ulwrrxpe.dll
fhblbvnj.dll
onprqzdv.dll
qayfqnib.dll


下载如下数据文件

附件: 删除数据列表.rar (2008-10-16 17:48:27, 443 B)
该附件被下载次数 123

在到http://bbs.ikaka.com/showtopic-8554006.aspx 下载主程序。

两个都下载完毕后，解压到同一目录下，运行主程序即可，点击开始处理。

并看下链接中 该程序的整个执行过程，避免误操作。

谢之……试下……

问题项目如下：

==================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <winlogen><C:\WINDOWS\Fonts\winlogen.exe>  []
    <ravusee><C:\WINDOWS\Fonts\ravusee.exe>  []
    <360rptt><C:\WINDOWS\Fonts\360rptt.exe>  [360Safe.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <tsqdjpix.dll><>  [N/A]
    <uuxqcios.dll><>  [N/A]
    <ulwrrxpe.dll><>  [N/A]
    <fhblbvnj.dll><>  [N/A]
    <onprqzdv.dll><>  [N/A]
    <qayfqnib.dll><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enc98.EXE]
    <IFEO[enc98.EXE]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GooglePinyinDownloader.exe]
    <IFEO[GooglePinyinDownloader.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pipi_zcom_513.exe]
    <IFEO[pipi_zcom_513.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\StormGetter.exe]
    <IFEO[StormGetter.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder.exe]
    <IFEO[Thunder.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ua80.EXE]
    <IFEO[ua80.EXE]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
==================================
驱动程序
[aliimz / aliimz][Stopped/Manual Start]
  <System32\Drivers\aliimz.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
[rddan / rddan][Running/Boot Start]
  <\SystemRoot\system32\drivers\rddan.sys><N/A>
[sfafix / sfafix][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\sfafix.sys><N/A>
[yyws / yywsw][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\yywsw.syss><N/A>
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
==================================
浏览器加载项
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Kler\pbhealth.dll, Compare the difference >
[JavaBrowser Class]
  {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2211.dll, >
==================================
正在运行的进程
C:\WINDOWS\system32\winlib .dll]  [N/A, ]
C:\WINDOWS\Fonts\360rptt.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2211.dll
C:\WINDOWS\system\mvjaj32dla.dll
C:\WINDOWS\FONTS\360RPTT.EXE
==================================

建议：将C:\WINDOWS\FONTS\360RPTT.EXE、C:\WINDOWS\Fonts\winlogen.exe、C:\WINDOWS\Fonts\ravusee.exe这三个文件分别用WINRAR压缩，分别上传压缩包。

C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system\mvjaj32dla.dll
C:\WINDOWS\Fonts\ravusee.exe
C:\WINDOWS\Fonts\winlogen.exe
c:\windows\system32\drivers\yywsw.syss
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
c:\windows\system32\drivers\sfafix.sys
c:\windows\system32\drivers\rddan.sys
c:\windows\system32\drivers\HBKernel32.sys
c:\windows\System32\Drivers\aliimz.sys
c:\windows\System32\DRIVERS\aliide.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
这些文件是有问题的，请lz酌情删除~:default7:

另外可以的话，个人卸载UUSEE这个软件及相关组件。

个人认为该软件存在流氓特性，当然最终决定权在于你手。

1、这个文件C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys个人也感觉有问题。
2、至于c:\windows\System32\DRIVERS\aliide.sys这个文件，个人认为是正常的，尽管没有版本和厂商信息。

: 删除数据文件.rar (2008-10-16 17:30:34, 436 B)
这个地址不存在- =

运行附件（解压后运行）
删除文件

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

粉碎上面那些文件么？

不能下。。。被病毒屏蔽了吗

我传到网盘了
http://www.brsbox.com/filebox/down/fc/a38633d34244fc073220a8d655af6388  里面也有主程序。

下载完， 运行主程序即可。