瑞星卡卡安全论坛

中午中毒。杀了一下午还是有~

WINDOS优化大师里的开机启动里有超多的不明启动项

起初输入法一直不出现 有错误。估计卡巴把那个CTM什么的文件删了

有时一到登陆界面直接司机

晚上下决心GHOST了~起初到了登陆界面直接死机了

重启后 进程里依旧出现数字。EXE

进入安全模式杀了半天。

再重新正常登陆用360木马专杀一扫木马还是一堆堆 用WINDOS清理助手也是一扫一堆

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

请严格按照以下步骤操作

个人建议不要偷懒，清理助手必须清理系统（如果可以运行的话），金山和sreng日志必须同时上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)

如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

请把日志放入附件
谢谢合作

不好意思:default3:

附件: Report.txt

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\aanbceki.dll
c:\program files\internet explorer\uzktnt.org
c:\windows\system32\aeechhng.dll
c:\windows\system32\aicelinc.dll
c:\windows\system32\ajajnjeb.dll
c:\windows\system32\cddahanf.dll
c:\windows\system32\djcnakjc.dll
c:\windows\system32\gbjkhled.dll
c:\windows\system32\gkkiinio.dll
c:\windows\system32\hampemco.dll
c:\windows\system32\hpmpckld.dll
c:\windows\system32\lkpkdgnd.dll
c:\windows\system32\phhibaeg.dll
c:\windows\downlo~1\cnshook.dll
c:\windows\fonts\comres.dll
c:\windows\system32\drivers\msiffei.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[CDDA1A7F]    <C:\WINDOWS\system32\cddahanf.dll>
[AEEC1170]    <C:\WINDOWS\system32\aeechhng.dll>
[A2CE527C]    <C:\WINDOWS\system32\aicelinc.dll>
[A3A373EB]    <C:\WINDOWS\system32\ajajnjeb.dll>
[1969C45D]    <C:\WINDOWS\system32\hpmpckld.dll>
[AA7BCE42]    <C:\WINDOWS\system32\aanbceki.dll>
[5494D07D]    <C:\WINDOWS\system32\lkpkdgnd.dll>
[9112BAE0]    <C:\WINDOWS\system32\phhibaeg.dll>
[D3C7A43C]    <C:\WINDOWS\system32\djcnakjc.dll>
[04422728]    <C:\WINDOWS\system32\gkkiinio.dll>
[1A69E6C8]    <C:\WINDOWS\system32\hampemco.dll>
[0B3415ED]    <C:\WINDOWS\system32\gbjkhled.dll>
[7D360AB6]    <>
[7D360AB6]    <>
[FA5167D1]    <>
[71471179]    <>
[3CF3A546]    <>
[773AF2A7]    <>
[7C6BD2E1]    <>
[F9169617]    <>
[B5F6E190]    <>
[3579C8F9]    <>
[0D05E57A]    <>
[26EA2842]    <>
[74E1CC4C]    <>
[4F96FACF]    <>
[E6BE39C0]    <>
[33907057]    <>
[C888C634]    <>
[0D0E223D]    <>
[0FF94893]    <>
[84D49BF9]    <>
[C6D193BB]    <>
[162154CB]    <>
[4A847CF2]    <>
[{573133AA-46E6-487A-8EAB-9A38C6E9B315}]    <C:\Program Files\Internet Explorer\UzKtNt.Org>
[{573133AA-46E6-487A-8EAB-9A38C6E9B315}]    <C:\Program Files\Internet Explorer\UzKtNt.Org>
[{CDDA1A7F-7654-4BBC-AA6F-F73A2810CA62}]    <C:\WINDOWS\system32\cddahanf.dll>
[{AEEC1170-E158-4B3A-BD95-AAAEFA361AB2}]    <C:\WINDOWS\system32\aeechhng.dll>
[{A2CE527C-9355-4D4D-B813-395A04727219}]    <C:\WINDOWS\system32\aicelinc.dll>
[{A3A373EB-EAC6-43D9-8E95-3339A850C2DA}]    <C:\WINDOWS\system32\ajajnjeb.dll>
[{1969C45D-D91F-49FB-A98C-4299778ECBE5}]    <C:\WINDOWS\system32\hpmpckld.dll>
[{AA7BCE42-E7FB-4ECE-96EF-A71AD704046F}]    <C:\WINDOWS\system32\aanbceki.dll>
[{5494D07D-3DA3-4BA7-9830-62CDCEA9E246}]    <C:\WINDOWS\system32\lkpkdgnd.dll>
[{9112BAE0-06DE-409E-80F0-5B2F2AF9DAB1}]    <C:\WINDOWS\system32\phhibaeg.dll>
[{D3C7A43C-446C-4252-A685-C1916978D182}]    <C:\WINDOWS\system32\djcnakjc.dll>
[{04422728-5628-452C-8287-F32BE1A030F4}]    <C:\WINDOWS\system32\gkkiinio.dll>
[{1A69E6C8-2148-4EEF-8A7D-2FF2B09100B9}]    <C:\WINDOWS\system32\hampemco.dll>
[{0B3415ED-AE27-41CF-8645-E3631A700B21}]    <C:\WINDOWS\system32\gbjkhled.dll>
[{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]    <C:\WINDOWS\DOWNLO~1\CnsHook.dll>
[IFEO[avp.exe]]    <svchost.exe>
[IFEO[Thunder5.exe]]    <svchost.exe>
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\ComRes.dllphhibaeg.dll,lkpkdgnd.dll,aicelinc.dll,djcnakjc.dll,ajajnjeb.dll,hpmpckld.dll,aeechhng.dll,aanbceki.dll,gbjkhled.dll,gkkiinio.dll,cddahanf.dll,hampemco.dll>修改为<>即清空

  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\UzKtNt.Org>

清理助手下载
升级清理助手，全盘扫描
清理雅虎助手

完了升级卡巴斯基，全盘杀毒

360木马专家和卡巴 都能查出一堆木马

杀了后
但是每次重启后还是出现

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件: Report.txt

附件: SREngLOG.log

C:\WINDOWS\System32\COMRes.dll
提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

hosts文件被修改，建议使用卡卡助手-高级工具-系统修复来恢复。

C:\WINDOWS\System32\COMRes.dll

清理助手下载
升级清理助手，全盘扫描
清理系统

全盘搜下
usp10.dll
结果上来反馈

附件: comres.rar

C:\WINDOWS\System32\COMRes.dll
发达可疑文件交流区鉴定

补充扫描后每次都是

appinit_dlls默认参数不正确。改过后 重启依然发现被修改:default2:



这个是鉴定的http://bbs.ikaka.com/showtopic-8590141.aspx

杀毒软件升级至最新版本，全盘杀毒

在安全模式下么？

那更好了

还不行，再来最新日志求助

sha du shi bai

mei you shu ru fa le

附件: SREngLOG.log

附件: Report.txt

这次的木马群真厉害

也不知道你做了什么，已经一大堆木马进入系统并运行了。

并且木马群只劫持针对瑞星和迅雷的软件

na jie xia lai gai zen me ban

GHOST?

jie jue shi bai

chong qi hou ji xu you

附件: Report.txt

附件: SREngLOG.log

你等会

我给你方法

你试着清理一下

我想知道到底这次的木马群，能不能手工清理

——————————————————————————————————————————
这里下载手工清理木马群工具包：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

然后作好下面操作需要的所有准备，彻底断网处理。
———————————————————————
你只有用工具包内的“SmtDel删除文件工具”（有操作说明）去删除病毒文件，将你下载的SmtDel程序解压出来放到系统盘C盘的文件夹里启动运行。复制粘贴下面文件操作删除：

C:\WINDOWS\system32\HBCHIBI.dll
C:\WINDOWS\system32\ombcjpdl.dll
C:\WINDOWS\system32\kcahmhgg.dll
C:\WINDOWS\system32\kiinaeae.dll
C:\WINDOWS\system32\gmfbohgp.dll
C:\WINDOWS\system32\alcnljhh.dll
C:\WINDOWS\system32\jjcbckbh.dll
C:\WINDOWS\system32\gmdkbeia.dll
C:\WINDOWS\system32\elokfabe.dll
C:\WINDOWS\system32\nllhdlmp.dll
C:\WINDOWS\system32\HBCHIBI.dll
C:\DOCUME~1\DELL\LOCALS~1\Temp\WowInitcode.dat
C:\WINDOWS\system32\anymie360.dll
C:\WINDOWS\system32\imkcpnge.dll
C:\WINDOWS\system32\cnakbkmj.dll
C:\WINDOWS\system32\fifnmfpj.dll
C:\WINDOWS\system32\System.exe
C:\DOCUME~1\DELL\LOCALS~1\Temp\235438
C:\DOCUME~1\DELL\LOCALS~1\Temp\280911
C:\DOCUME~1\DELL\LOCALS~1\Temp\5ca7b.dll
C:\DOCUME~1\DELL\LOCALS~1\Temp\282066
C:\DOCUME~1\DELL\LOCALS~1\Temp\296551
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\61CD8D48.dat
C:\WINDOWS\system32\anymie360.exe
C:\WINDOWS\anymie360.exe

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。
———————————————————————
可以这贴里找相同系统里的ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32文件夹里的ctfmon.exe替换回正常的系统文件.
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <HBService32><System.exe>  [HB Software]
    <Alcmtr><anymie360.exe>  []
    <{CBFD1014-58B1-4998-9881-F17A63494250}><C:\WINDOWS\system32\cbfdhghk.dll>  []
    <{6A0C64E3-37B9-40E6-A9BD-2A6018413954}><C:\WINDOWS\system32\magcmkej.dll>  [File is missing]
    <{1106198F-A114-491F-A426-2C9955B17397}><C:\WINDOWS\system32\hhgmhpof.dll>  [File is missing]
    <{66765B16-E3F4-4680-AE00-5A5193681DB6}><C:\WINDOWS\system32\mmnmlbhm.dll>  [File is missing]
    <{F7FA2A89-A163-4C5E-9050-1B8A61B64F58}><C:\WINDOWS\system32\fnfaiaop.dll>  [File is missing]
    <{6ACD7E19-DBF2-4806-BB81-3DE0BC54996B}><C:\WINDOWS\system32\macdnehp.dll>  [File is missing]
    <{A0B15518-77B0-4FAC-BF46-8997ACD5BD4F}><C:\WINDOWS\system32\agbhllho.dll>  []
    <{E8984E54-2A84-46C2-963E-1F8725BC8760}><C:\WINDOWS\system32\eopokelk.dll>  [File is missing]
    <{2C407FA4-1788-4EB4-9DA6-4C597CE29054}><C:\WINDOWS\system32\ickgnfak.dll>  []
    <{86BC39D5-88B2-4545-86B7-E08D7D8C9363}><C:\WINDOWS\system32\ombcjpdl.dll>  []
    <{4CA16100-3462-4F8D-B62E-83ABBCA814AB}><C:\WINDOWS\system32\kcahmhgg.dll>  []
    <{4227AEAE-8D63-445C-A28C-0D73D97E382C}><C:\WINDOWS\system32\kiinaeae.dll>  []
    <{06FB8109-53FE-4ECF-8B5B-D5BE2CEB7743}><C:\WINDOWS\system32\gmfbohgp.dll>  []
    <{A5C75311-FC52-41DE-9417-EB9880EE2A52}><C:\WINDOWS\system32\alcnljhh.dll>  []
    <{33CBC4B1-EC76-44E7-B1F4-09335B8584F1}><C:\WINDOWS\system32\jjcbckbh.dll>  []
    <{06D4BE2A-011C-49B0-A07C-07EDEC1A7784}><C:\WINDOWS\system32\gmdkbeia.dll>  []
    <{E584FABE-D2A1-43DC-819A-122B896D0880}><C:\WINDOWS\system32\elokfabe.dll>  []
    <{573133AA-46E6-487A-8EAB-9A38C6E9B315}><C:\Program Files\Internet Explorer\UzKtNt.Org>  [File is missing]
    <{7551D569-82F3-4042-8109-510B8B0C28E8}><C:\WINDOWS\system32\nllhdlmp.dll>  []
    <86BC39D5><C:\WINDOWS\system32\ombcjpdl.dll>  []
    <4CA16100><C:\WINDOWS\system32\kcahmhgg.dll>  []
    <4227AEAE><C:\WINDOWS\system32\kiinaeae.dll>  []
    <06FB8109><C:\WINDOWS\system32\gmfbohgp.dll>  []
    <A5C75311><C:\WINDOWS\system32\alcnljhh.dll>  []
    <33CBC4B1><C:\WINDOWS\system32\jjcbckbh.dll>  []
    <06D4BE2A><C:\WINDOWS\system32\gmdkbeia.dll>  []
    <E584FABE><C:\WINDOWS\system32\elokfabe.dll>  []
    <7551D569><C:\WINDOWS\system32\nllhdlmp.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\61CD8D48.dat><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {573133AA-46E6-487A-8EAB-9A38C6E9B315} <C:\Program Files\Internet Explorer\UzKtNt.Org, N/A>
[]
  {573133AA-46E6-487A-8EAB-9A38C6E9B315} <C:\Program Files\Internet Explorer\UzKtNt.Org, N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

你的系统内因为一直在连网，所以可能还有新的病毒不断下载下来并运行了

所以你处理完以后，得在防火墙里阻止任何不明程序访问网络才行

尤其是要阻止这三个系统重要文件访问网络

C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ctfmon.exe
c:\windows\system32\rpcss.dll

[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
这个服务看看是否有问题.

全机搜索USP10.dll文件

搜索到多少详细情况说来

并请将G:\程序\sreng2\USP10.dll文件压缩发来

急等这个文件

急需要看它的详细情况

并请不要再使用这个SRENG工具了

要使用得将SRENG主程序复制到桌面运行

还没有处理完。现在用的另一台电脑

处理到在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）

但是无法修改<AppInit_DLLs>项目。编辑置空不成功。删不了下面列举的

而且。正常登入XP异常缓慢

那个要
并请将G:\程序\sreng2\USP10.dll文件压缩发来？

现在还没进行完清毒。可以联网给你？

不了
你先清理吧

做完所有的，再发吧

千万别在原路径下用那SRENG程序了

病毒已经在它的目录注入USP10.dll文件了

你一启动，就又来毒了

还有你除系统Windows文件夹外的其他任意文件夹内的软件的程序同目录内估计都有USP10.dll文件了

都得删除

但是删除前一定得压缩一些给我

搜到了超多的USO10.DLL 几乎没个文件夹都被感染了

但是有好多删不掉

已经压缩了保存了其中1个

现在把SRENG重新解压到桌面了。还是无法删除那些恶意注册表项目

在来最新日志

还有那文件多找几个呀

光一个哪行

我要越多越好

用U盘弄的。~

那个USP10删完了。就剩一个了。。= =！

还有。版主大大。各项操作需要在安全模式做的希望能够说下。

附件: Report.txt

附件: SREngLOG.log

附件: usp10.rar

您所上报的文件，瑞星当前版本已经可以查杀。

这个USO10.DLL 最新版本瑞星已可杀