这是病毒吗？ bbs.ikaka.com

Find皮卡丘 - 2008-11-13 20:10:00

今天QQ医生可疑文件扫描出了四个可疑文件，kk也有可疑进程，要不要删掉呢？瑞星完全查不出来！那天去问进程，已有人问过了http://bbs.ikaka.com/showtopic-8566287.aspx

可就是瑞星查不出来，现在扫描日志上传了，分析一下是不是毒吧。而QQ医生查出的要不要删掉呢？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: SREngLOG.log

超级游戏迷 - 2008-11-13 20:42:00

点击下载 System Repair Engineer
1 、解压缩sreng2.zip
2、运行SREngldr.exe
3 、智能扫描=》扫描=》保存报告
4 、将日志以附件方式上传。

Find皮卡丘 - 2008-11-14 18:23:00

没人帮忙吗？再提供一点线索，kk里有几个奇怪注册表信息
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ RTHDCPL Realtek HD Audio Control Panel Realtek Semiconductor Corp. C:\WINDOWS\RTHDCPL.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
+ QQ游戏启动加速程序.lnk 提升游戏大厅启动速度，极速畅游QQ游戏世界深圳市腾讯计算机系统有限公司 C:\PROGRA~1\TENCENT\QQGAME\ACCEL.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
C:\WINDOWS\WIN.INI
C:\WINDOWS\SYSTEM.INI
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Handler
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 ABOUT:HOME.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ 显示摇曳 CPL 扩展 DESKPAN.DLL
+ Shell Scrap DataHandler Shell scrap object handler Microsoft Corporation C:\WINDOWS\SYSTEM32\SHSCRAP.DLL
+ Directory Query UI Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL
+ Shell properties for a DS object Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL
+ Directory Object Find Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL
+ Directory Start/Search Find Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL
+ Cab 文件 Cabinet File Viewer Shell Extension Microsoft Corporation C:\WINDOWS\SYSTEM32\CABVIEW.DLL
+ WinRAR C:\PROGRAM FILES\WINRAR\RAREXT.DLL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\Shellex\ColumnHandlers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ IcbcBho Class 中国工商银行IE工具栏中国工商银行 C:\PROGRAM FILES\中国工商银行\工行IE浏览器安全插件\ICBCTOOLBAR.DLL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
+ 工行工具栏中国工商银行IE工具栏中国工商银行 C:\PROGRAM FILES\中国工商银行\工行IE浏览器安全插件\ICBCTOOLBAR.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions
+ 启动迅雷5 Thunder Networking Technologies,LTD C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\THUNDER.EXE
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions
+ HTTP://WWW.YLMF.COM/INDEX.HTM
计划任务
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services(Drivers)
+ IntcAzAudAddService Realtek(r) High Definition Audio Function Driver Realtek Semiconductor Corp. C:\WINDOWS\SYSTEM32\DRIVERS\RTKHDAUD.SYS
+ JGOGO SCSI Port upper filter driver JMicron C:\WINDOWS\SYSTEM32\DRIVERS\JGOGO.SYS
+ nv NVIDIA Compatible Windows 2000 Miniport Driver, Version 163.75 NVIDIA Corporation C:\WINDOWS\SYSTEM32\DRIVERS\NV4_MINI.SYS
+ nvrd32 NVIDIA? nForce(TM) RAID Driver NVIDIA Corporation C:\WINDOWS\SYSTEM32\DRIVERS\NVRD32.SYS
+ presafe C:\WINDOWS\SYSTEM32\DRIVERS\PRESAFE.SYS
+ Tcpip TCP/IP Protocol Driver Microsoft Corporation C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor\AutoRun
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Authentication Packages

aaccbbdd - 2008-11-14 18:35:00

病毒服务
[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A>
病毒文件
C:\WINDOWS\System32\wmdmpmsvc.dll
被替换的系统文件
C:\WINDOWS\system32\taskmagr.exe

Find皮卡丘 - 2008-11-14 22:35:00

http://bbs.ikaka.com/showtopic-8566301.aspx里已说taskmagr.exe 不是系统进程（非任务管理器），现在要做什么？先结束进程再把QQ医生里的4个文件删掉吗？

aaccbbdd - 2008-11-14 22:43:00

启动项目－－服务－－ Win32服务应用程序之如下项禁用：

[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A>

看错了:default3:
taskmagr.exe不是taskmgr.exe

附件解压后运行，粉碎文件：
C:\WINDOWS\System32\wmdmpmsvc.dll
C:\WINDOWS\system32\taskmagr.exe

附件: c-_j_-x-_j.rar

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

Find皮卡丘 - 2008-11-15 13:47:00

严重问题啊！服务禁止了，粉碎时蓝屏，重启4个文件还在，是不是要勾选禁止文件再次生成？而且windows防火墙不断提示IE，是不是注册表中HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 ABOUT:HOME.EXE 这段出问题了？快帮我吧:default11:

aaccbbdd - 2008-11-15 13:48:00

:kaka7: :kaka7:
新日志看看
病毒都变得顽固了？。。。。。

为了高效解决问题，请配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

Find皮卡丘 - 2008-11-15 14:01:00

有一个木马类程序和未知的风险软件，删不删？

aaccbbdd - 2008-11-15 14:12:00

？
清理助手提示的？删除

Find皮卡丘 - 2008-11-15 14:20:00

要删几个啊？两个都删？

aaccbbdd - 2008-11-15 14:25:00

清理助手提示高危的全部删除

Find皮卡丘 - 2008-11-15 14:27:00

只有木马是高危哦，要备份吗？顺便把刚才的日志发一下，清理前的

附件: SREngLOG2.log

aaccbbdd - 2008-11-15 14:28:00

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[presafe / presafe][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\presafe.sys><N/A>

完了上传新的日志
清理后的日志

Find皮卡丘 - 2008-11-15 14:34:00

不看不知道，一看吓一跳，昨天停止的服务又运行，上诉服务找不到，还有清理助手提示要不要备份（木马），选什么？

aaccbbdd - 2008-11-15 14:35:00

随便

[presafe / presafe][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\presafe.sys><N/A>
找不到？
这个恶意驱动找不到？:default11: :default11:

Find皮卡丘 - 2008-11-15 14:46:00

成功了！清理助手把木马清理后，卡卡里的可疑进程消失，不过是否有残留还要看看，最新日志

附件: SREngLOG3.log

aaccbbdd - 2008-11-15 14:49:00

c:\windows\system32\wmdmpmsvc.dll
附件提取下

就剩它和
[presafe / presafe][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\presafe.sys><N/A>
了

附件: 文_件_提_取_工_具.rar

Find皮卡丘 - 2008-11-15 14:57:00

病毒文件在里面了，有问题吗？

附件: wmdmpmsvc.rar

aaccbbdd - 2008-11-15 15:01:00

100%是病毒

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\System32\wmdmpmsvc.dll

2.SRENG-启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A>

Find皮卡丘 - 2008-11-15 15:15:00

剑盟版下载时文件大小都读不出来，继续下载吗？

aaccbbdd - 2008-11-15 15:20:00

:default3:

提供几个附件
解压后运行

都可以删除的
PS：不用勾选抑制再生的

或
http://bbs.ikaka.com/showtopic-8555677.aspx

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

附件: 费-尔-文-件删-除-工-具.rar

附件: 修改的2007年金-山-粉-碎-器.rar

Find皮卡丘 - 2008-11-15 15:24:00

服务需重启后删除，要重启后再删吗？

aaccbbdd - 2008-11-15 15:26:00

删除文件后
删除服务即可

山寨寂寞 - 2008-11-15 15:28:00

是吧！

Find皮卡丘 - 2008-11-15 15:37:00

用360文件粉碎器还是蓝屏，重启后用QQ医生查可疑文件少两个（清理助手删的木马），刚删的还是在啊！

aaccbbdd - 2008-11-15 15:39:00

不要用360那个
费尔和金山的效果最好！！

Find皮卡丘 - 2008-11-15 15:51:00

那个病毒文件删除成功了，QQ医生只剩wegrnte.dll了，还有问题吗？

aaccbbdd - 2008-11-15 15:54:00

wegrnte.dll发上来看看

Find皮卡丘 - 2008-11-15 15:57:00

提取好了，看看吧

附件: wegrnte.rar

瑞星卡卡安全论坛