瑞星卡卡安全论坛

中了这个病毒怎么办啊 瑞星查不出来它是病毒 但是在进程中可以显示 我上网查了说是病毒 但是用结束进程的方法说是系统关键进程无法结束 去C盘查找这个东西 但是没有 连隐藏的文件都找了还是没有 网上说 在D盘生成2个文件 可是我的D盘什么都没有 我改怎么办呢
这个东西一直在请求连接 我一直拒绝 路径是C:\WINDOWS\system32  但是找不到这个程序按CTRL+ALT+DEL显示的有两个和这个程序有关系（网上说的 我也找到了)lass.exe 和smss.exe
请大家帮帮我 看看我怎么办

用户系统信息：Mozilla/4.0 (compatible;tlbb=bl; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

附件: 瑞星听诊信息.rar

我在线等待高手的回答

大哥
别发了

我都回了

那我应该怎么办呢 现在我

就不能听话
发个能解决问题的日志？
亏得我今天头还不晕
还能看卡卡听诊器的日志

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

附件: SREngLOG.log

附件: 清理专家诊断报告.txt

好了都传上去了 大虾帮我看看吧

呃。。。我觉的瑞星听诊器还不算难懂啊。。。。虽然颜色上有点~
先关闭这条系统服务，DeviceManager = C:\WINDOWS\SYSTEM32\SASS.EXE  因为这个病毒是采用系统服务达到自启动，所以没有添加启动项~之后结束SASS.EXE进程~并删除SASS.EXE文件~无法删除就用粉碎删除~
删除C:\Program Files\servcie.exe 文件~并结束servcie.exe进程（注意不要结束错了~）
修复以下文件
C:\WINDOWS\system32\DRIVERS\4wgvf.sys
System32\DRIVERS\edkped94.sys\C:\WINDOWS\system32\fgaazt
System32\DRIVERS\gnrogt10.sys>
system32\drivers\iedgjfeb.sys>
system32\drivers\kbdfi3.sys>
system32\drivers\kbdfj.sys>
C:\WINDOWS\system32\npkcrypt.sys>
C:\WINDOWS\system32\npkycryp.sys>
C:\WINDOWS\system32\opmjfd>
system32\drivers\oymof.sys>
C:\WINDOWS\system32\drivers\oymof.sys
system32\drivers\qduml.sys>
C:\WINDOWS\system32\drivers\qduml.sys [未知]
system32\drivers\shellstyll.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
C:\WINDOWS\system32\DRIVERS\qbeqbm.sys
删除报告中sass.exe进程和假的servcie.exe 进程的所有可疑DLL文件~

可是怎么关闭呢

病毒不少
病毒处理方案：
based on 金山报告：

金山清理专家在线系统诊断
隐藏安全项

修复：
        [DeviceManager] [已启用]      <C:\WINDOWS\system32\sass.exe>
        文件路径: C:\WINDOWS\system32\sass.exe [分析中]
  [hdbx] [已启用]                <C:\PROGRA~1\cyws\migc.dll>
WMITS] [已启用] <C:\Program Files\servcie.exe>
        文件路径: C:\Program Files\servcie.exe [可疑的]
  [4wgvf] [已启用]              <System32\DRIVERS\4wgvf.sys>
        文件路径: C:\WINDOWS\system32\DRIVERS\4wgvf.sys [文件无法访问]

        [edkped94] [已启用]            <System32\DRIVERS\edkped94.sys>

        [fgaazt] [已启用]              <\??\C:\WINDOWS\system32\fgaazt>

        [gnrogt10] [已启用]            <System32\DRIVERS\gnrogt10.sys>

        [iedgjfeb] [已启用]            <system32\drivers\iedgjfeb.sys>

        [kbdfi3] [已启用]              <system32\drivers\kbdfi3.sys>

        [kbdfj] [已启用]              <system32\drivers\kbdfj.sys>
[opmjfd] [已启用]              <\??\C:\WINDOWS\system32\opmjfd>

        [oymof] [已启用]              <system32\drivers\oymof.sys>
        文件路径: C:\WINDOWS\system32\drivers\oymof.sys [未知]

        [qduml] [已启用]              <system32\drivers\qduml.sys>
        文件路径: C:\WINDOWS\system32\drivers\qduml.sys [未知]

        [shellstyll] [已启用]          <system32\drivers\shellstyll.sys>

        [xuusp] [已启用]              <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>

        [yxbqfobk] [已启用]            <\??\C:\WINDOWS\system32\DRIVERS\qbeqbm.sys>
        文件路径: C:\WINDOWS\system32\DRIVERS\qbeqbm.sys [分析中]

金山清理专家
安全百宝箱-文件粉碎器
粉碎文件
C:\WINDOWS\system32\sass.exe
C:\Program Files\servcie.exe
C:\WINDOWS\system32\DRIVERS\4wgvf.sys
C:\WINDOWS\system32\drivers\oymof.sys
C:\WINDOWS\system32\DRIVERS\qbeqbm.sys
C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\ctfmon.exe
从http://bbs.ikaka.com/showtopic-8417665.aspx
2楼拷正常文件！

我已经清理完了你说的 要我清理的那几个文件 然后我怎么办呢 呵呵多多指点下

新日志看看:default6:

附件: 清理专家诊断报告.txt

附件: 瑞星听诊信息.rar

是这俩个么

无语。。。一看就知道根本没清理干净啊，sass.exe进程依然还在~

汗
还逼得人暴力删除+抑制再生？

先替换文件C:\WINDOWS\system32\ctfmon.exe
从http://bbs.ikaka.com/showtopic-8417665.aspx
2楼拷正常文件！
务必！
操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.8下载地址：  http://www.dodudou.com/down/inde ... C8%ED%BC%FE&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\sass.exe
C:\Program Files\servcie.exe
C:\WINDOWS\system32\DRIVERS\4wgvf.sys
C:\WINDOWS\system32\drivers\oymof.sys
C:\WINDOWS\system32\DRIVERS\qbeqbm.sys





金山清理专家在线系统诊断
隐藏安全项

修复：
        [DeviceManager] [已启用]      <C:\WINDOWS\system32\sass.exe>
        文件路径: C:\WINDOWS\system32\sass.exe [分析中]
  [hdbx] [已启用]                <C:\PROGRA~1\cyws\migc.dll>
WMITS] [已启用] <C:\Program Files\servcie.exe>
        文件路径: C:\Program Files\servcie.exe [可疑的]
  [4wgvf] [已启用]              <System32\DRIVERS\4wgvf.sys>
        文件路径: C:\WINDOWS\system32\DRIVERS\4wgvf.sys [文件无法访问]

        [edkped94] [已启用]            <System32\DRIVERS\edkped94.sys>

        [fgaazt] [已启用]              <\??\C:\WINDOWS\system32\fgaazt>

        [gnrogt10] [已启用]            <System32\DRIVERS\gnrogt10.sys>

        [iedgjfeb] [已启用]            <system32\drivers\iedgjfeb.sys>

        [kbdfi3] [已启用]              <system32\drivers\kbdfi3.sys>

        [kbdfj] [已启用]              <system32\drivers\kbdfj.sys>
[opmjfd] [已启用]              <\??\C:\WINDOWS\system32\opmjfd>

        [oymof] [已启用]              <system32\drivers\oymof.sys>
        文件路径: C:\WINDOWS\system32\drivers\oymof.sys [未知]

        [qduml] [已启用]              <system32\drivers\qduml.sys>
        文件路径: C:\WINDOWS\system32\drivers\qduml.sys [未知]

        [shellstyll] [已启用]          <system32\drivers\shellstyll.sys>

        [xuusp] [已启用]              <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>

        [yxbqfobk] [已启用]            <\??\C:\WINDOWS\system32\DRIVERS\qbeqbm.sys>
        文件路径: C:\WINDOWS\system32\DRIVERS\qbeqbm.sys [分析中]

补充下楼上的，病毒DeviceManager = C:\WINDOWS\SYSTEM32\SASS.EXE  开启了一条系统服务~我觉的不关闭这条服务的话，病毒永远都会再生~先禁止，停用这个服务再进行其他操作。

修复：
        [DeviceManager] [已启用]      <C:\WINDOWS\system32\sass.exe>
等于删除服务

:kaka6: 。。。。。这都可以啊~不过，不知楼主能不能上报样本呢？

我拷贝哪个文件2楼有许多文件啊 麻烦你们2位都给我点帮助 我可是菜鸟中的菜鸟啊

金山就这个好处：
操作简单:default6:

不用什么删除呀
禁用呀

拷贝第一个就可以了。

但是我复制后粘贴系统说 正在被使用 没有办法粘贴 我怎么拷贝呢

哎  真是麻烦你们 我怎么什么都不明白呢 ～～那些病毒危害大么:default2: :default2:

C:\WINDOWS\system32\ctfmon.exe
先用附件粉碎文件

再从lqqk7那贴下载文件粘贴即可

附件: 费-尔-文-件删-除-工-具.rar

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

先结束被占用文件的进程~然后就可以覆盖了啊~

附件: 清理专家诊断报告.txt

附件: SREngLOG.log

附件: 瑞星听诊信息.rar

这个是我断网删除后的扫描日志你们看看 还有我把那个复制过去了

但是为什么我发现我的管理器中还是有lsass.exe 用户名是system

病毒没了

SRENG-启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[Windows Managemint / Windows Managemint
WMITS][Stopped/Auto Start]
  <C:\Program Files\servcie.exe><(File is missing)>
SRENG  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

  <\SystemRoot\System32\DRIVERS\edkped94.sys><N/A>
[fgaazt / fgaazt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\fgaazt><N/A>
[gnrogt1 / gnrogt10][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\gnrogt10.sys><N/A>
[iedgjfeb / iedgjfeb][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\iedgjfeb.sys><N/A>
[kbdfi3 / kbdfi3][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\kbdfi3.sys><N/A>
[kbdfj / kbdfj][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\kbdfj.sys><N/A>
[opmjfd / opmjfd][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\opmjfd><N/A>
[oymof / oymof][Running/Boot Start]
  <\SystemRoot\system32\drivers\oymof.sys><N/A>
[qduml / qduml][Running/Boot Start]
  <\SystemRoot\system32\drivers\qduml.sys><N/A>
[xuusp / xuusp][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat><N/A>
[yxbqfobk / yxbqfobk][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\DRIVERS\qbeqbm.sys><N/A>