瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 跪求解木马群方法!哭谢!
binhi - 2008-12-9 23:28:00
系统扫描信息见附件

附件: 冰海扫描结果.rar (2008-12-9 23:28:22, 11.48 K)
该附件被下载次数 263

,哭谢各位高手!

  安装瑞星时会出现“瑞星通用库错误”,我选择的“继续安装”,所有杀毒软件都打不开,开机会运行速度较慢,系统已重装,只格系统盘,其它盘有数据文件,启动完后调不出“程序管理器”,用该网页方法" http://bbs.ikaka.com/showtopic-8440721.aspx ,无效!http://bbs.ikaka.com/showtopic-8443439.aspx 方法也无效,这个网页方法也用过,http://zhidao.ikaka.com/Aspx/Html/StaticHtml/296/296551.html ,均无效! 
  部分软件打开时,无法正常显示选择键上的字,显示的是乱码!
  开机经常出现"windows文件保护"提示,让插入windows光盘,因为所需文件已被替换成无法识别的版本,windows必须还原这些文件的原有版本!我每次都选择“取消”,但几秒钟后又会再次自动弹出!  瑞星打不开时,系统启动完后会自动打开我的文档。

  大蜘蛛也用过了,查出了部分瑞星没查出来的毒是木马,让我删了! 用瑞星官方提供的“木马群病毒专杀及修复工具repairtool.exe”,运行后第一次启动系统后能打开瑞星,但不能升级,能运行,但查不到毒,全盘杀完后,再次重启,故障依旧! 刚下载的瑞星自检查文件rsdetect.exe也让病毒感染了,状态是:trojan.muldrop.15569 还有win32.HLLW.Gavir.ini ……。
  系统已下载所有补丁。
 
  跪求解毒方法!我的邮箱: binhi@126.com  万分感谢您! 哭谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
backway - 2008-12-9 23:35:00
下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,将日志以附件形式上传。
binhi - 2008-12-9 23:37:00


引用:
原帖由 backway 于 2008-12-9 23:35:00 发表
下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:[url=http://bbs.ikaka.com/showtopic-8442813.aspx]http://bbs.ikaka.com/showt




我是下的最新版的! 就是这个文件
binhi - 2008-12-9 23:42:00
我再传一次系统扫描结果吧:谢谢你们了!

附件: 系统扫描SREngLOG.rar (2008-12-9 23:42:03, 11.51 K)
该附件被下载次数 230

binhi - 2008-12-9 23:50:00
再谢!!  辛苦了! 不管有没解决都谢谢你了!  这个是瑞星听诊器扫描结果:

附件: 瑞星听诊器扫描结果.rar (2008-12-9 23:50:07, 6.63 K)
该附件被下载次数 270

backway - 2008-12-9 23:59:00
启动项目 -- 注册表之如下项删除:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
  <AutoRun><allrs.exe>  [N/A]
    <FaltCheck><allps.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{01AFE3DC-2242-436E-9B44-6DD1C664E828}><01AFE3DC.dll>  [N/A]
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>  [N/A]
    <{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}><A1A6BC2E.dll>  [N/A]
    <{4D023DE9-F4B5-4BE0-99C6-7C7AD0CF5426}><4D023DE9.dll>  [N/A]
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><122B901E.dll>  [N/A]
    <{5934EA2B-B2C4-4BE7-BF7A-FBA781A12E40}><5934EA2B.dll>  [N/A]
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll>  [N/A]
    <{133AEAC9-9C88-4905-864C-38BBA312D9B0}><133AEAC9.dll>  [N/A]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>  [N/A]
    <{B1471A4C-C62E-4E6B-B7DB-A2020EB18435}><B1471A4C.dll>  [N/A]
    <{DFB3DAC5-B0B5-4B05-BFCF-FB42737778FA}><DFB3DAC5.dll>  [N/A]
    <{E44343AD-3605-4282-AC8F-2E41C2F5F398}><E44343AD.dll>  [N/A]
    <{D7C79813-9233-4AE0-832C-99B2E8019673}><D7C79813.dll>  [N/A]
    <{FFAE967F-D0FC-4D2B-A0F5-D1BF27F46418}><FFAE967F.dll>  [N/A]
    <{950D1600-DE4A-448D-93B4-7BAE5A7A8052}><950D1600.dll>  [N/A]
    <{DA63E650-537C-4042-87BB-9D19D844680B}><DA63E650.dll>  [N/A]
    <{93DEE065-EC9B-4505-ADD3-19880AD3C38F}><93DEE065.dll>  [N/A]

系统修复——浏览器加载项之如下项删除

[IEupdateCheck]
  {1798BEA6-E891-46B7-A1F8-C15780D0A023} <C:\WINDOWS\system32\allmax.dll, N/A>



从其他相同系统(XP SP2)中拷贝Userinit到C:\WINDOWS\system32\dllcache和C:\WINDOWS\system32下。

运行下载的删除映像劫持工具,清除检测到的所有映像劫持项:
http://bbs.ikaka.com/attachment.aspx?attachmentid=429561

之后再扫sreng日志上传。
binhi - 2008-12-10 0:37:00
无法在system32下新建dllcache,原因是“指定文件与现有文件重名,请另指定一文件名”。但在文件夹下找不到dllcache文件。用系统工具无论如何也找不到。
  打开映像劫持工具,无映像劫持项!
  sreng日志将重启后发上来,其它的都按你的标示做完。 谢谢了!
binhi - 2008-12-10 0:50:00
无法在system32下新建dllcache,原因是“指定文件与现有文件重名,请另指定一文件名”。但在文件夹下找不到dllcache文件。用系统工具无论如何也找不到。
  打开映像劫持工具,无映像劫持项!
  sreng日志将重启后发上来,其它的都按你的标示做完。 谢谢了!
  另外开机会弹出窗口,信息是:加载c:\windows\system\zhnahsdf081202c.dll时出错,找不到指定模块。
  故障依旧如题!

这个是重启前和重启后的扫描信息:

附件: SREngLOG重启前.rar (2008-12-10 0:49:55, 10.02 K)
该附件被下载次数 215

附件: SREngLOG重启后.rar (2008-12-10 0:49:55, 8.64 K)
该附件被下载次数 193



  再次谢谢你们!
天月来了 - 2008-12-10 8:27:00
dllcache是个隐藏文件夹,系统文件夹

一般系统默认是不显示隐藏文件夹、系统文件夹的

所以你的设置你的系统显示隐藏文件、显示系统文件才能看到

一般来说可以利用解压工具WinRAR依路径打开找到

或地址栏直接输入正确地址回车即可
backway - 2008-12-10 13:05:00
“开机经常出现"windows文件保护"提示,让插入windows光盘”如果你有系统安装CD-ROM,插进光驱,运行sfc /scannow。

启动项目 -- 注册表之如下项删除:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <swg><C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe>  [(Verified)Google Inc]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <zhqbstart><rundll32.exe C:\WINDOWS\system\zhnahsdf081202c.dll a16zhqb>  [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll>  [N/A]
    <{E44343AD-3605-4282-AC8F-2E41C2F5F398}><E44343AD.dll>  [N/A]
    <{D7C79813-9233-4AE0-832C-99B2E8019673}><D7C79813.dll>  [N/A]



.运行下载的删除映像劫持工具,清除检测到的所有映像劫持项:
http://bbs.ikaka.com/attachment.aspx?attachmentid=429561
(解压后,运行它,点击"检查”,之后全部清除!)


用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

dllcache具有隐藏和系统属性。
binhi - 2008-12-10 20:30:00
感谢瑞星,感谢版主,感谢高手backway ! 谢谢您们及各位高手! 系统感觉已经正常。 瑞星我已正常重装,用windows清理工具扫出了不少病毒,现将最后结果发上来,望看看是否正常!

附件: 三个文件.rar (2008-12-10 20:30:28, 27.63 K)
该附件被下载次数 126

  

  跪谢!  方便的话,希望能知道backway 的oicq号,谢谢了!

再次谢谢你们!
backway - 2008-12-10 21:40:00
你上传的日志有好几个,只要上传最近的一个就行了,直接上传不用压缩。


你替换userinit.exe文件么?在system32和dllcache目录下都替换掉。
还有再清理下修复下镜像劫持:
运行下载的删除映像劫持工具,清除检测到的所有映像劫持项:
http://bbs.ikaka.com/attachment.aspx?attachmentid=429561
binhi - 2008-12-10 23:23:00
高手,再救~~~
  
  system和dllcache下面的我都按你要求替换了,运行映像劫持工具,每次都是没有劫持项。 
  
  我装有瑞星和防火墙,怎么会又出现毒了? 我刚重启了4-5次,IE主页又被修改了,但没有什么软件提醒过我,我设置的主页默认页无法打开,点击按键“使用默认页”出现乱码“ ???眠?眠?9??粓?9?粓騉粀?9 ”,我看注册表下的主页是显示的我设置的主页,但就是打不开呢?自动会变换主页,现在是“http://www.net9981.cn/ ”再求高手解决,我感觉好像木马还是没杀干净?

  我开始做完后,就只看了几个网页,然后可能清理硬盘文件时,点了硬盘里的一个文件,没反映我就删了那个文件。

附最新报告! 

附件: 1210SREngLOG.log (2008-12-10 23:23:03, 62.72 K)
该附件被下载次数 106

 再谢谢!!
backway - 2008-12-10 23:33:00
启动项目 -- 注册表之如下项删除:(可以加快系统启动速度)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <AlcWzrd><ALCWZRD.EXE>  [RealTek Semicoductor Corp.]
    <Alcmtr><ALCMTR.EXE>  [Realtek Semiconductor Corp.]
<swg><C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe>  [(Verified)Google Inc]


用附件中的“费尔”清除文件(选择抑制再生):

C:\PROGRA~1\INTERN~1\winiedr.dll


系统修复——浏览器加载项之如下项删除(2处):

[]
  {47CFDDF9-6FBD-4C06-8753-24FEFBA10D71} <C:\PROGRA~1\INTERN~1\winiedr.dll, N/A>
[]
  {47CFDDF9-6FBD-4C06-8753-24FEFBA10D71} <C:\PROGRA~1\INTERN~1\winiedr.dll, N/A>

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

附件: 费-尔.rar
binhi - 2008-12-11 0:00:00
恩人,按照你的要求做了,打开IE能进入我设置的主面,但在没连接网络的情况下进入网页设置,点“使用当前面”,显示:“C:\PROGRA~1\INTERN~1\winiedr.dll ”  点“使用默认页”出现很长的乱码,点“使用空白页”正常。在上网情况下点“使用当前面”正常,点“使用默认页”还是出现很长的乱码。 谢谢辛苦了!!感激不尽!!


  这是这次的报告!

附件: 12102358SREngLOG.log (2008-12-11 0:00:07, 53.14 K)
该附件被下载次数 111

  谢谢
backway - 2008-12-11 7:28:00
用附件中的工具删除:C:\PROGRA~1\INTERN~1\winiedr.dll ,勾选抑制再生。
之后用360安全卫士等强力修复IE。

附件: 费-尔.rar
binhi - 2008-12-11 7:48:00
感谢backway !!  真心谢谢你! 真的很厉害!  有机会真愿拜师向你学习,并帮助更多人!!  再次谢谢你的热心帮助!  希望能加你做我的好友!!  再次谢谢你!
1
查看完整版本: 跪求解木马群方法!哭谢!
© 2000 - 2026 Rising Corp. Ltd.