瑞星卡卡安全论坛

今天游戏号还给盗了.....气人啊  谁来帮帮我:default2:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; (R1 1.3); 360SE)

附件: hijackthis.log

HJ日志不全
无价值


为了高效解决问题，请配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

金山清理专家下载后也打不开

附件: SREngLOG.log

还是HB病毒
先修复映像劫持附件中

1.建议使用费尔木马删除以下文件：(费尔下载)
扩展：(冰刃下载)(XDelBox1.8剑盟版)
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
c:\001b3fbb\001b3fc3
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\nskhelper2.sys
c:\windows\system32\f35ee9e.sys
c:\windows\system32\drivers\cgimg.sys
c:\windows\system32\08223b03.dll
c:\windows\system32\4fbfd5a4.dll
c:\windows\system32\58ff3024.dll
c:\windows\system32\66afcb56.dll
c:\windows\system32\70b0129e.dll
c:\windows\system32\8566f82e.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\9f684de8.dll
c:\windows\system32\b3721c07.dll
c:\windows\system32\bpbodteh.dll
c:\windows\system32\da63e650.dll
c:\windows\system32\dicthelper.dll
c:\windows\system32\f8ab57e9.dll
c:\windows\system32\mapi32.dll
c:\windows\system32\tlati.dll
c:\windows\temp\textfont.dat
c:\program files\internet explorer\vitnnt64.987
c:\windows\temp\gameset.dat
c:\windows\system32\kbwoaini.dll
c:\windows\system32\svchost.exe（这是系统基础性重要文件，不能删除的，绝对的错误指点      天月来了）

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[xxxALLGUARD / xxxALLGUARD]    <\??\C:\001B3FBB\001B3FC3>
[HBKernel32 Driver / HBKernel32]    <\SystemRoot\system32\drivers\HBKernel32.sys>
[NsReSDev1 / NsReSDev1]    <\??\C:\WINDOWS\system32\Nskhelper2.sys>
[f35ee9e / f35ee9e]    <\??\C:\WINDOWS\system32\f35ee9e.sys>
[cgimg / cgimg]    <\SystemRoot\system32\drivers\cgimg.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\VitnNt64.987>

**************以上分析报告由SREngLog分析助手提供******************
分析：lichun005

附件: 映像劫持修复工具.rar

上面的大哥 照你说的.“建议使用费尔木马删除以下文件：(费尔下载)”
删了你列的文件后 我的系统差不多挂了 网都上不去了
只好系统还原.....:default3:
怎么办那

不不怎么的  现在瑞星可以打开了  但是360卫士和金山清理专家还是打不开 速度也感觉有点慢
我在传个现在的日志  哪位大大给我看看啊  谢谢阿

附件: SREngLOG.log

1.找到c:\windows\system32\winsysdwn.dll和C:\WINDOWS\system32\Nskhelper2.sys文件打包上传“可疑文件交流”版  谢谢！

1.这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

c:\windows\system32\qqi9qt.dll
c:\windows\system32\winsysdwn.dll
c:\windows\system32\dicthelper.dll
c:\windows\system32\nskhelper2.sys
c:\001b3fbb\001b3fc3
c:\windows\system32\drivers\cgimg.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[NsReSDev1 / NsReSDev1] 
[xxxALLGUARD / xxxALLGUARD] 
[cgimg / cgimg] 

修复IFEO映像劫持（附件）


清理系统  全盘杀毒

请楼主尽量能将文件打包传上

挂掉的原因是4楼的删除文件列表里多了个：
c:\windows\system32\svchost.exe

这是系统重要的基础性文件

没了它，自然死定了

需修复服务。导入附件压缩包中的注册表文件。

附件: fuwu.rar

已经按照楼上各位大大的指示做了 现在几个软件都能打开了 就是开机进桌面的时候有下咚声...
小弟最后再把2个日志上传下  哪位大大 给小弟再看看 如果没问题的话支会声 小弟就撤了 麻烦了

附件: 清理专家诊断报告.txt

附件: SREngLOG.log

1.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[losdcmnl.dll]    <>
[ennavxpx.dll]    <>
[phuqnfme.dll]    <>
[bpbodteh.dll]    <>

**************以上分析报告由SREngLog分析助手提供******************
分析：草莽书生
时间：2008-11-17
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

不好意思，没仔细检查日志，我的过错,希望楼主损失不大