瑞星卡卡安全论坛

电脑中毒了。杀了几天都杀不了。。已上传日志文件。谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; CIBA)

附件: SREngLOG.log

新玩意不少

这木马群真能变

C:\WINDOWS\system32\vsjitdebugger.exe这个文件复制个压缩发来看看

3楼，你要的东西。。谢谢

附件: vsjitdebugger.rar

做好所有准备后，必须断网处理

下载EasyDelete工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=459970

依照内附操作说明图删除下面文件：

删除：
C:\WINDOWS\system32\mmx4b0dd.exe
C:\WINDOWS\mmx4b0dd.exe
C:\WINDOWS\system32\gdipro.dll
C:\WINDOWS\system32\sys05029.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\HBASKTAO.dll
C:\WINDOWS\system32\HBDNF.dll
C:\WINDOWS\system32\HBTL.dll
C:\WINDOWS\system32\HBQQSG.dll
C:\WINDOWS\system32\HBWOW.dll
C:\WINDOWS\system32\HBZHUXIAN.dll
C:\WINDOWS\system32\HBYY.dll
C:\WINDOWS\system32\HBQQXX.dll
C:\WINDOWS\Temp\mmhtml.dll
c:\WINDOWS\system32\mmx3c8b0.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\D7C79813.dll
C:\WINDOWS\system32\F8E07BB2.dll
C:\WINDOWS\system32\12316E69.dll
C:\WINDOWS\system32\DFB3DAC5.dll
C:\WINDOWS\system32\5934EA2B.dll
C:\WINDOWS\system32\A1A6BC2E.dll
C:\WINDOWS\system32\950D1600.dll
C:\WINDOWS\system32\56BC86C7.dll
C:\WINDOWS\system32\FFAE967F.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\201476D0.dll
C:\WINDOWS\system32\D9C002DD.dll
C:\WINDOWS\system32\DA63E650.dll
C:\WINDOWS\system32\14F7F80A.dll
C:\Program Files\Internet Explorer\67u1NtMe.2ys
C:\WINDOWS\system32\appwinproc.dll
C:\WINDOWS\TEMP\WowInitcode.dat
C:\WINDOWS\system32\B3721C07.dll
C:\WINDOWS\system32\34A25F04.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\9CA963CA.dll
C:\WINDOWS\system32\66AFCB56.dll
C:\WINDOWS\system32\E0D39066.dll
C:\WINDOWS\system32\A55F538E.dll
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\craoek.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Thunder.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Temp\k37.exe
C:\WINDOWS\TEMP\330296.txt
C:\WINDOWS\system32\Drivers\00136620.sys
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\b160485.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\Nskhelper2.sys
C:\WINDOWS\system32\b71fe93.sys
C:\WINDOWS\system32\f28907d.sys
C:\WINDOWS\system32\6457aed.sys
C:\Program Files\Internet Explorer\Vv54321t.321
C:\Program Files\Internet Explorer\Explo2eMt.456
C:\Program Files\Internet Explorer\58u1NtMe.2ys
C:\Autorun.inf
C:\system.dll
D:\Autorun.inf
D:\system.dll
E:\Autorun.inf
E:\system.dll
F:\Autorun.inf
F:\system.dll

不论结果怎样，执行完以后，立即按下键盘上的“power”键关机并重启电脑，继续下面操作
————————————————————————————————————————
可以按照这贴使用wsyscheck工具操作：
http://bbs.ikaka.com/showtopic-8561436.aspx

将你的C:\WINDOWS\system32\rpcss.dll文件改名，然后再将C:\WINDOWS\system32\srpcss.dll改名为rpcss.dll
将C:\WINDOWS\Temp\explorer.exe文件复制到你的系统C:\WINDOWS\文件夹内替换回被病毒替换的系统桌面。

去找相同XPSP3系统里的以下文件：
C:\WINDOWS\system32\wiaservc.dll
C:\WINDOWS\system32\w32time.dll
C:\WINDOWS\system32\wuauclt.exe

先复制到C:\WINDOWS\system32\dllcache文件夹里替换。
再复制到C:\WINDOWS\system32文件夹里替换。

可以这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

可以按照这贴进行相关文件复制粘贴替换，建议使用wsyscheck工具操作
http://bbs.ikaka.com/showtopic-8561436.aspx

提示替换不了的文件，可以先将病毒的改个名，然后再将正常的复制进去。

然后重启电脑
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><meyotme.dll,HBmhly.dll,HBASKTAO.dll,HBDNF.dll,HBTL.dll,HBQQSG.dll,HBWOW.dll,HBZHUXIAN.dll craoe.dll lenyuns.dll woodken.dll delnice.dll kandawf.dll rexljeh.dll tobaoup.dll qanhllao.dll xsisco.dll kodens.dll wonlins.dll cenbezn.dll jolends.dll zesttns.dll kandoftt.dll telmanz.dll fliecods.dll,HBYY.dll,HBQQXX.dll>  []

就是将 <AppInit_DLLs> 的“值”项编辑置空
你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <nwiz><mmx4b0dd.exe>  []
    <{39349BEE-BE43-47E4-8670-8B34570E112D}><39349BEE.dll>  [N/A]
    <{14F7F80A-0FE7-4A24-83CC-639D42BE410C}><14F7F80A.dll>  []
    <{DA63E650-537C-4042-87BB-9D19D844680B}><DA63E650.dll>  []
    <{D9C002DD-EA51-43A2-9009-54EAAAF031A4}><D9C002DD.dll>  []
    <{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}><B3721C07.dll>  []
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>  []
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><122B901E.dll>  []
    <{34A25F04-008D-403E-8EE6-2307BC02FA2E}><34A25F04.dll>  []
    <{FFAE967F-D0FC-4D2B-A0F5-D1BF27F46418}><FFAE967F.dll>  []
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll>  []
    <{950D1600-DE4A-448D-93B4-7BAE5A7A8052}><950D1600.dll>  []
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><E4814792.dll>  []
    <{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}><A1A6BC2E.dll>  []
    <{F6A454AE-156A-415E-9F89-3795677A8A91}><C:\Program Files\Internet Explorer\58u1NtMe.2ys>  [File is missing]
    <{9CA963CA-107C-4089-B0AB-31380F90D7E3}><9CA963CA.dll>  []
    <{66AFCB56-FAA9-42D2-8C72-2767A46C7FA8}><66AFCB56.dll>  []
    <{E0D39066-96D7-4891-8527-488ADAFCD60F}><E0D39066.dll>  []
    <{5934EA2B-B2C4-4BE7-BF7A-FBA781A12E40}><5934EA2B.dll>  []
    <{16FF142F-BEBD-47CE-A3A6-D52A1A2ECB54}><C:\Program Files\Internet Explorer\Vv54321t.321>  [File is missing]
    <{DFB3DAC5-B0B5-4B05-BFCF-FB42737778FA}><DFB3DAC5.dll>  []
    <{12316E69-4CE5-4CD7-A174-C0BD57529D5A}><12316E69.dll>  []
    <{A55F538E-9E65-4706-9458-852BF6592063}><A55F538E.dll>  []
    <{F8E07BB2-7A19-4057-80F1-E14646E630B4}><F8E07BB2.dll>  []
    <{E59C8BDA-489C-47EC-8967-A33C6A730B10}><C:\Program Files\Internet Explorer\Explo2eMt.456>  [File is missing]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>  []
    <{D7C79813-9233-4AE0-832C-99B2E8019673}><D7C79813.dll>  []
    <{1C88DCB3-CC6B-4DDA-8213-7AD7022A34E1}><C:\Program Files\Internet Explorer\67u1NtMe.2ys>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[00136620 / 00136620][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\00136620.sys><N/A>

[aliimz / aliimz][Stopped/Manual Start]
  <System32\Drivers\aliimz.sys><N/A>

[b160485 / b160485][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\b160485.sys><N/A>

[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>

[NsPsDk00 / NsPsDk00][Running/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>

[NsPsDk01 / NsPsDk01][Running/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>

[NsPsDk02 / NsPsDk02][Running/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>

[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>

[NsPsDk04 / NsPsDk04][Running/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>

[NsRk1 / NsRk1][Running/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>

[b71fe93 / b71fe93][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\b71fe93.sys><N/A>

[f28907d / f28907d][Running/Manual Start]
  <\??\C:\WINDOWS\system32\f28907d.sys><N/A>

[6457aed / 6457aed][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\6457aed.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {1C88DCB3-CC6B-4DDA-8213-7AD7022A34E1} <C:\Program Files\Internet Explorer\67u1NtMe.2ys, N/A>
[]
  {16FF142F-BEBD-47CE-A3A6-D52A1A2ECB54} <C:\Program Files\Internet Explorer\Vv54321t.321, N/A>
[]
  {1C88DCB3-CC6B-4DDA-8213-7AD7022A34E1} <C:\Program Files\Internet Explorer\67u1NtMe.2ys, N/A>
[]
  {E59C8BDA-489C-47EC-8967-A33C6A730B10} <C:\Program Files\Internet Explorer\Explo2eMt.456, N/A>
[]
  {F6A454AE-156A-415E-9F89-3795677A8A91} <C:\Program Files\Internet Explorer\58u1NtMe.2ys, N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》高级修复》修复安全模式

————————————————————————————————————
在扫日志的SRENG工具》系统修复》高级修复》重置Winsock

—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

你安装在其他盘的QQ以及其他下载工具什么的软件，可能需要考虑删除放弃了。

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

天月老师速度真快啊。方法很完善。

因为C:\WINDOWS\Temp\mmhtml.dll文件删除后，很可能你不能再连网了

所以一定要想法进安全模式下重置Winsock成功

您所上传的文件我们已经收集，有结果会给您回复。

你这是木马群更新后，我见的第一个求助实例

我不能保证你得到完美解决

你需要考虑是否操作后，系统不能进去

如果那样，你可能需要考虑重装系统了。

如果操作成功

请一定要再扫描个操作后的最新SRENG日志来看

下载最新版本的SRENG工具扫描：http://www.kztechs.com/sreng/download.html

C:\WINDOWS\system32\vsjitdebugger.exe
这个文件上传相检测没有病毒啊!
为什么还要删呢？综合8楼的，难道是未知病毒？

进程文件: vsjitdebugger.exe or vsjitdebugger
进程名称: Visual Studio Just-In-Time Debugger

  描述:
vsjitdebugger.exe is a process associated with Microsoft® Visual Studio® 2005 from Microsoft Corporation.


建议保留。。。

我也不知道

不删也行

处理完后的扫描结果。。可能还有问题。。部分问题应该解决。。请再给我看看

附件: SREngLOG.log

继续删除下面文件：
C:\WINDOWS\system32\Drivers\00136620.sys
C:\WINDOWS\system32\6457aed.sys
C:\WINDOWS\system32\b160485.sys
C:\WINDOWS\system32\b71fe93.sys
C:\WINDOWS\system32\f28907d.sys
C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\Nskhelper2.sys
C:\Autorun.inf
C:\system.dll
D:\Autorun.inf
D:\system.dll
E:\Autorun.inf
E:\system.dll
F:\Autorun.inf
F:\system.dll
————————————————————————————————————————
不知道下面这两个服务项不知道对你有没有用。
系统文件可能被病毒替换了，还得自己找相同系统的文件替换回来：
C:\WINDOWS\System32\appmgmts.dll
C:\WINDOWS\system32\spoolsv.exe
==================================
服务
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>

[Print Spooler / Spooler][Stopped/Auto Start]
  <C:\WINDOWS\system32\spoolsv.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[00136620 / 00136620][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\00136620.sys><N/A>

[6457aed / 6457aed][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\6457aed.sys><N/A>

[aliimz / aliimz][Stopped/]
  <2 - 系统找不到指定的文件。
><N/A>

[b160485 / b160485][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\b160485.sys><N/A>

[b71fe93 / b71fe93][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\b71fe93.sys><N/A>

[f28907d / f28907d][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\f28907d.sys><N/A>

[HBKernel32 Driver / HBKernel32][Stopped/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>

[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>

[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>

[NsPsDk02 / NsPsDk02][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>

[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>

[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>

[NsRk1 / NsRk1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

然后重启电脑再看怎样

请下载最新版本的SRENG工具扫描日志：http://www.kztechs.com/sreng/download.html

你使用的SRENG工具版本低了，不利于解决系统重要问题

告诉我，你是用我推荐的那个工具删除病毒文件的吗？？？

想知道实际使用效果如何:default7:

说实话我也不知是哪个工具删除病毒的。。
我都用了好几个工具。。。
包括下面几个：

EasyDelete
SRENG工具
W i n d o w s 清理助手
KillBox 汉化版
XDelBox.exe

用EasyDelete工具点执行删除后提示要重启机子。。但会弹出提示说‘你无权重启计算机’

郁闷。。。瑞星的文件监控也打不开

附件: SREngLOG.log

呵呵！！

我一开始不是回了你么：

不论结果怎样，执行完以后，立即按下键盘上的“power”键关机并重启电脑，继续下面操作

按下键盘上的“power”键关机耶。

那工具太强，你还是少折腾它玩，出现不稳定，可能系统进不了的。:default3:

最新扫描的日志。。。瑞星文件监控不能启动。。方便的话就再帮我看看。。谢谢

附件: SREngLOG.log

删除文件:
C:\WINDOWS\system32\Drivers\00136620.sys
C:\WINDOWS\system32\b160485.sys
C:\WINDOWS\system32\f28907d.sys

删除驱动:
[00136620 / 00136620]   
[f28907d / f28907d] 
[b160485 / b160485]   

修复HOSTS文件

重起后若还无法启动瑞星监控 请修复安装一次