瑞星卡卡安全论坛

new[1].exe 昨天隔离区弄叻好多. 计算机时间被改成叻2004年 注册表被修改. 瑞星监控全关闭 打不开. 局域网连不上.
电脑启动起来提示 ravmond.exe 应用程序错误.

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA)

扫SRENG日志发反病毒/反流氓区论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

请严格按照以下步骤操作

[siez=5]个人建议不要偷懒，清理助手必须清理系统（如果可以运行的话），金山和sreng日志必须上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)

如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

new[1].exe 昨天隔离区弄叻好多. 计算机时间被改成叻2004年 注册表被修改. 瑞星监控全关闭 打不开. 局域网连不上.
电脑启动起来提示 ravmond.exe 应用程序错误.

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA)

附件: SREngLOG.log

重新上传日志

日志是空的

附件: SREngLOG.log (2009-1-16 10:23:55, 49.62 K)
该附件被下载次数 157

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA)

以后再发附件，请点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

附件: SREngLOG.log (2009-1-16 10:31:27, 48.73 K)
该附件被下载次数 176

好叻  快帮我看看吧

:kaka4: 来人帮我看看吧!

附件: SREngLOG1.log (2009-1-16 11:42:21, 55.97 K)
该附件被下载次数 117

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA)

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

删除：
C:\WINDOWS\system32\ohclapnd.dll

不论删除结果如何立即重启电脑，继续下面操作。
————————————————————————————————————
按照这贴进行相关文件替换操作恢复rpcss服务以及恢复其对应rpcss.dll文件
http://bbs.ikaka.com/showtopic-8561436.aspx
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <ctfn><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7586338>  [File is missing]
    <{514AD076-F95E-4672-B4F0-B88A5C80FA3F}><C:\WINDOWS\system32\lhkadgnm.dll>  [File is missing]
    <{81C5A97D-A739-42EB-A8E5-4E9D40DEC0D5}><C:\WINDOWS\system32\ohclapnd.dll>  []
    <514AD076><C:\WINDOWS\system32\lhkadgnm.dll>  [File is missing]
    <81C5A97D><C:\WINDOWS\system32\ohclapnd.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项.将启动类型改为“Disabled”
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[Safe Mon 360 / SafeMon0][Stopped/System Start]
  <\??\C:\WINDOWS\system32\79D6CEBB.dat><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {A95083BE-3D1F-4C7E-ACCC-EC11EA9D498A} <C:\Program Files\Internet Explorer\UfzsKetNt.Ps3, N/A>
[]
  {A95083BE-3D1F-4C7E-ACCC-EC11EA9D498A} <C:\Program Files\Internet Explorer\UfzsKetNt.Ps3, N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点确定清空IE缓存。

下载工具清空能清空的垃圾文件，不能清空的不管它
http://bbs.ikaka.com/attachment.aspx?attachmentid=479547

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

晕死 上网都成问题叻 .. 重装吧.诶

晕死

我没看你最新日志

没想到就一会儿，你两次日志误差那么大

最后的日志里一大大堆木马

你重装自然最好了

因为木马群对系统的饿破坏是很多的，也难以彻底恢复致较好的状态。

重装系统后，记得打全系统补丁。

你最后日志中就看到这些
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><mgmpmadd.dll,kceegkii.dll,bnkbldmj.dll,cocjiiec.dll,pdjdcefo.dll,jlbmochl.dll,ocfilodf.dll,cblpbfbd.dll,nkaebggc.dll,gpfmlkkb.dll,hkcbghjk.dll,HBCHIBI.dll,kmon.dll,ihoonbal.dll>  []
启动项目
注册表
    <HBService32><System.exe>  [HB Software]
    <ctfn><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2085651>  []
    <Alcmtr><anymie360.exe>  []
    <{514AD076-F95E-4672-B4F0-B88A5C80FA3F}><C:\WINDOWS\system32\lhkadgnm.dll>  [File is missing]
    <{C8C322EC-BDCF-4454-A6C9-414E21F39955}><C:\WINDOWS\system32\cocjiiec.dll>  []
    <{74AEB00C-1C51-4122-9223-4694966FF293}><C:\WINDOWS\system32\nkaebggc.dll>  []
    <{9D3DCEF8-B3ED-4488-990A-816403B7519F}><C:\WINDOWS\system32\pdjdcefo.dll>  []
    <{CB59BFBD-7770-4CD4-BD4A-406DCC7F4724}><C:\WINDOWS\system32\cblpbfbd.dll>  []
    <{60696ADD-77B8-4422-8F60-2F462AEAEF96}><C:\WINDOWS\system32\mgmpmadd.dll>  []
    <{14CB0134-8D88-4652-BF72-EF6F1D38C759}><C:\WINDOWS\system32\hkcbghjk.dll>  []
    <{09F6544B-BA65-4964-BB8C-87E605191B63}><C:\WINDOWS\system32\gpfmlkkb.dll>  []
    <{35B68C15-8A67-44C7-AC3D-0910BC503EE2}><C:\WINDOWS\system32\jlbmochl.dll>  []
    <{B74B5D63-FE66-45F5-8C03-38838F5FD947}><C:\WINDOWS\system32\bnkbldmj.dll>  []
    <{4CEE0422-2D06-425E-B270-3161CF70EC2F}><C:\WINDOWS\system32\kceegkii.dll>  []
    <{8CF258DF-684A-441F-B896-1B1C4F3DE4F5}><C:\WINDOWS\system32\ocfilodf.dll>  []
    <{21887BA5-DA35-43F3-9B6C-5242EFD16F68}><C:\WINDOWS\system32\ihoonbal.dll>  []
    <{A95083BE-3D1F-4C7E-ACCC-EC11EA9D498A}><C:\Program Files\Internet Explorer\UfzsKetNt.Ps3>  []
    <514AD076><C:\WINDOWS\system32\lhkadgnm.dll>  [File is missing]
    <C8C322EC><C:\WINDOWS\system32\cocjiiec.dll>  []
    <74AEB00C><C:\WINDOWS\system32\nkaebggc.dll>  []
    <9D3DCEF8><C:\WINDOWS\system32\pdjdcefo.dll>  []
    <CB59BFBD><C:\WINDOWS\system32\cblpbfbd.dll>  []
    <60696ADD><C:\WINDOWS\system32\mgmpmadd.dll>  []
    <14CB0134><C:\WINDOWS\system32\hkcbghjk.dll>  []
    <09F6544B><C:\WINDOWS\system32\gpfmlkkb.dll>  []
    <35B68C15><C:\WINDOWS\system32\jlbmochl.dll>  []
    <B74B5D63><C:\WINDOWS\system32\bnkbldmj.dll>  []
    <4CEE0422><C:\WINDOWS\system32\kceegkii.dll>  []
    <8CF258DF><C:\WINDOWS\system32\ocfilodf.dll>  []
    <21887BA5><C:\WINDOWS\system32\ihoonbal.dll>  []
==================================
服务
[DCOM Server Process Launcher / DcomLaunch][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A>

[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k rpcss-->%SystemRoot%\system32\rpcss.dll><N/A>
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\F1DC3D89.dat><N/A>
==================================
浏览器加载项
[]
  {A95083BE-3D1F-4C7E-ACCC-EC11EA9D498A} <C:\Program Files\Internet Explorer\UfzsKetNt.Ps3, N/A>
[]
  {A95083BE-3D1F-4C7E-ACCC-EC11EA9D498A} <C:\Program Files\Internet Explorer\UfzsKetNt.Ps3, N/A>
==================================
正在运行的进程
    [C:\WINDOWS\system32\anymie360.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\UfzsKetNt.Ps3]  [N/A, ]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
    [C:\WINDOWS\system32\cocjiiec.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh05022.dll]  [N/A, ]
    [C:\WINDOWS\system32\nkaebggc.dll]  [N/A, ]
    [C:\WINDOWS\system32\pdjdcefo.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\cblpbfbd.dll]  [N/A, ]
    [C:\WINDOWS\system32\mgmpmadd.dll]  [N/A, ]
    [C:\WINDOWS\system32\hkcbghjk.dll]  [N/A, ]
    [C:\WINDOWS\system32\gpfmlkkb.dll]  [N/A, ]
    [C:\WINDOWS\system32\jlbmochl.dll]  [N/A, ]
    [C:\WINDOWS\system32\bnkbldmj.dll]  [N/A, ]
    [C:\WINDOWS\system32\kceegkii.dll]  [N/A, ]
    [C:\WINDOWS\system32\anymie360.dll]  [N/A, ]
    [C:\WINDOWS\system32\ocfilodf.dll]  [N/A, ]
    [C:\WINDOWS\system32\ihoonbal.dll]  [N/A, ]
[PID: 1816][C:\WINDOWS\system32\System.exe]  [HB Software, 1, 2, 1, 1007]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]

不行啊  重装叻还有,一样的 我瑞星都装好叻  但是 过叻一会杀一下就 又不行叻.  复制粘贴都不让叻  我要拷资料后格式化都不行啊.
    来看啊

新日志看看
咋的重装都不行

你什么网络情况:default3: