厉害的病毒 bbs.ikaka.com

sytu_sj1988 - 2009-1-18 23:11:00

根据后来楼主QQ发给我的最新的扫描报告给的下面的回复

貌似要先替换 comres.dll

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\windows\fonts\ctm04002.ttf
C:\windows\system32\drivers\gieiffgc.sys
C:\windows\system32\drivers\ihceagai.sys
C:\windows\system32\drivers\jhcafcib.sys

2.删除重启后使用SREng修复下面各项：

注意该项[AppInit_DLLs]修改：把<C:\windows\system32\COMRes.dll 给?>修改为<>即清空

启动项目－－服务－－驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[gieiffgc / gieiffgc][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gieiffgc.sys><N/A>
[ihceagai / ihceagai][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ihceagai.sys><N/A>
[jhcafcib / jhcafcib][Stopped/Boot Start]
<\SystemRoot\system32\drivers\jhcafcib.sys><N/A>

就这些吧

sytu_sj1988 - 2009-1-19 0:57:00

貌似我做错事了，那三个名字奇怪，没有任何信息，网上也查不到的驱动貌似是系统的驱动程序，让楼主大哥删掉以后他进系统了发现网卡，鼠标都不能识别也不能用了。
应该先让上报到可疑文件交流区等回复再操作的。
都是我造成的，对不起啊。我不会真是个祸害吧~

yebuxing - 2009-1-19 9:51:00

没关系的，我今天在CMOS中复位，已经修复故障，还原了系统，但是不知道病毒是不是还存在？

天月来了 - 2009-1-19 10:07:00

既然恢复系统，那么在来日志看

如果恢复以前的备份，很可能这三个驱动已经没有了

以后还是看实际文件判断为好

==================================
驱动程序
[gieiffgc / gieiffgc][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gieiffgc.sys><N/A>

[ihceagai / ihceagai][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ihceagai.sys><N/A>

[jhcafcib / jhcafcib][Stopped/Boot Start]
<\SystemRoot\system32\drivers\jhcafcib.sys><N/A>

这三驱动的随机名特性，至少我是高度怀疑的。

但是到底楼主厉害的毒的详细情况是什么呢？

详细病毒文件名和路径呢？

yebuxing - 2009-1-19 10:16:00

这个是最新的报告

sytu_sj1988 - 2009-1-19 10:20:00

还原后那三个驱动还在，但是病毒出来的时间很随机，网络是先有本地连接再拨号，怀疑是ARP病毒。
但是很奇怪昨天为什么comres.dll怎么成了
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\windows\system32\COMRes.dll 给?> [File is missing]
可能被病毒感染了，然后下载了一个传过去，他的已经被瑞星直接删掉文件了。:default3:

天月来了 - 2009-1-19 10:26:00

你XPSP2系统怎么还是这输入法？
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<internat.exe><internat.exe> [Microsoft Corporation]
——————————————————————————————————————————————
用解压工具WinRAR依路径打开文件夹找下面文件，复制压缩发来看，找不到的不管它

C:\windows\system32\drivers\gieiffgc.sys
C:\windows\system32\drivers\ihceagai.sys
C:\windows\system32\drivers\jhcafcib.sys
C:\windows\system32\drivers\sscfs.sys
C:\windows\system32\NpOpenStore.dll
C:\windows\system32\NPCard.dll
C:\windows\system32\RsaFun.dll
C:\windows\system32\GPKPCSC.dll

还有详细病毒文件名和路径呢？

是一连网就有毒？还是不连网都反复杀出同一样的病毒？

sytu_sj1988 - 2009-1-19 10:45:00

C:\windows\system32\drivers\gieiffgc.sys
C:\windows\system32\drivers\ihceagai.sys
C:\windows\system32\drivers\jhcafcib.sys
这些找不到，根本就不存在文件:default3:

C:\windows\system32\NpOpenStore.dll
C:\windows\system32\NPCard.dll
C:\windows\system32\RsaFun.dll
C:\windows\system32\GPKPCSC.dll
这些才让他打包传到http://www.virscan.org/
扫描是全部杀软报无毒~

C:\windows\system32\drivers\sscfs.sys
这一个可疑程度2/37
飞塔报可疑
MCAFEE报 generic Rookit I

注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<internat.exe><internat.exe> [Microsoft Corporation]
这个是现在才有的

还有就是刚才清理助手扫出4个病毒，现在已经显示没有病毒了。

瑞星卡卡安全论坛