瑞星卡卡安全论坛

请大大帮忙看看日志啊

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; CNCDialer)

附件: rslog.txt

？描述下病毒路径

请上传SRENG日志


请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

c:\windows\system32\rjmgtdc.dll
c:\windows\system32\asni1.exe
c:\windows\system32\maxtho.exe
c:\windows\hf34h.exe
c:\windows\sxfdwe4h.exe
c:\windows\system32\loae.exe
c:\windows\system32\winsxs\smss.exe
c:\windows\system32\scvst.exe
c:\windows\system32\svost.exe
c:\windows\system32\tstm.exe
c:\windows\system32\wins\ttyqdorey.dll
c:\windows\system32\wabn.exe
c:\windows\system32\drivers\11651078.sys
c:\windows\system32\drivers\dlkfet5b.sys
c:\windows\system32\drivers\tjldn.sys
c:\windows\dsfg45fj.exe
c:\windows\sxfdwe4h.exe
c:\windows\dsfg45fj.exe
c:\windows\kwg2harh.exe
c:\windows\system32\com\ie.exe
提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

新品种病毒?
提供路径
可以的话打包传去可疑文件交流
以便加库

c:\windows\system32\svost.exe
太假了

想什么呢？
懒得删除日志么:default3:

电脑太慢了,按照acc老师的提示,正在下WINDOWS清理助手,还没有扫描新日志呢,上面的是我用瑞星卡卡扫描的

能不慢么
病毒好多:default2:

zen me da bu cheng han zi le ?

附件: SREngLOG.log

附件: Report.txt

原因
C:\WINDOWS\system32\ctfmon.exe被病毒替换了

清理助手把C:\WINDOWS\system32\ctfmon.exe清理了

http://bbs.ikaka.com/showtopic-8417665.aspx
2楼附件的ctfmon.exe
放入本机的system32文件夹即可

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。



c:\windows\system32\wabn.exe
c:\windows\system32\tstm.exe
c:\windows\system32\svost.exe
c:\windows\system32\scvst.exe
c:\windows\system32\loae.exe
c:\windows\kwg2harh.exe
c:\windows\dsfg45fj.exe
c:\windows\system32\asni1.exe
c:\windows\sxfdwe4h.exe
c:\windows\system32\winsxs\smss.exe
c:\windows\system32\maxtho.exe
c:\windows\system32\6ab3e.exe
c:\windows\hf34h.exe
c:\windows\system32\weqjn.exe
c:\windows\system32\drivers\11651078.sys
c:\windows\system32\drivers\tjldn.sys
c:\windows\system32\drivers\efuyq.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[dsfg45fj]    <C:\WINDOWS\dsfg45fj.exe>
[sdfdh234j]    <C:\WINDOWS\sxfdwe4h.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[wabn / wabn]    <C:\WINDOWS\system32\wabn.exe>
[tstm / tstm]    <C:\WINDOWS\system32\tstm.exe>
[Windows Time / w32time]    <>
[svost / svost]    <C:\WINDOWS\system32\svost.exe>
[scvst / scvst]    <C:\WINDOWS\system32\scvst.exe>
[IPsec Police Agent / PoliceAgent]    <C:\WINDOWS\system32\winsxs\smss.exe>
[loae / loae]    <C:\WINDOWS\system32\loae.exe>
[asni143 / asni143]    <C:\WINDOWS\system32\asni1.exe>
[kwg2harh / kwg2harh]    <C:\WINDOWS\sxfdwe4h.exe>
[aint / aint]    <C:\WINDOWS\system32\maxtho.exe>
[6AB3E / 6AB3E]    <C:\WINDOWS\system32\6AB3E.exe>
[dsfg45fj pressure experimentation / dsfg45fj]    <C:\WINDOWS\hf34h.exe>
[weqjn / weqjn]    <C:\WINDOWS\system32\weqjn.exe>
[Windows Time / w32time]    <>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[11651187 / 11651187]    <\??\C:\WINDOWS\system32\Drivers\11651078.sys>
[tjldn / tjldn]    <\SystemRoot\system32\drivers\tjldn.sys>
[efuyq / efuyq]    <\SystemRoot\system32\drivers\efuyq.sys>


注意该项目的修改！！！
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><"\Program Files\Logonui\Royale.exe">
改为
  <UIHost><logonui.exe>

注意该项目的修改！！！
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><"\Program Files\Logonui\Royale.exe">
改为
  <UIHost><logonui.exe>

老师,这个怎么改?

开始-运行
regedit
找到该分支
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
右面找到<UIHost>
这条
修改这个值即可

也可以试试
看图

现在速度就是快多了,谢谢aacc老师不遗余力的帮助