我有想死的冲动 bbs.ikaka.com

城市猎人_ - 2009-1-25 9:19:00

这几天机子中了类似AV终结者的病毒，随机生成7位数字的进程。只要一上网他就自己运行，用瑞星也删不了。我也试着还原了，可病毒好像不在C盘，郁闷的很，大多程序都不能用了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

aaccbbdd - 2009-1-25 9:27:00

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\docume~1\admini~1\locals~1\temp\1417882
c:\docume~1\admini~1\locals~1\temp\1051161
c:\docume~1\admini~1\locals~1\temp\wowinitcode.dat
c:\windows\fonts\ctm01025.ttf
c:\windows\fonts\ctm03004.ttf
c:\windows\fonts\ctm11008.ttf
c:\windows\fonts\ctmres.dll
c:\documents and settings\all users\「开始」菜单\程序\启动\kunbang.exe

2.删除重启后使用SREng修复下面各项：

启动项目－－　启动文件夹之如下项删除：
[Kunbang] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Kunbang.exe>

全盘搜索usp10.dll
结果截图发上来

夲號ヱ被ジ盜 - 2009-1-25 9:56:00

橙色八月中的QQ PASS
WOW下载器
问题不大
按楼上的做了后升级瑞！星！全盘扫描

城市猎人_ - 2009-1-25 10:47:00

应该是个变种，我按照2楼的做了，可开机一联网后又又些数字进程，那些数字是随机生成的好像，结束进程后，又有新的出来，而且不是7位数字了，变为了6位数字的进程，我搜索usp10.dll。没有这样的文件。橙色八月专杀我也用了，查不出来。不过只要有个进程要联网他就自动运行，进程表就出现了个数字进程。瑞星全盘杀毒也查不出来，只有联网时，那些进程自动运行后，才有病毒被杀。数字进程没有的话，进查不出病毒。而且瑞星老弹出有什么要修改注册表，我一直保持阻止的状态。郁闷的很~！

aaccbbdd - 2009-1-25 10:56:00

搜下psapi.dll

也可以试试大蜘蛛
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

浪漫纸箱 - 2009-1-25 11:10:00

这项服务很可疑，请确认后。个人建议：
sreng操作：
启动项目－－服务－－ win32服务应用程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

浪漫纸箱 - 2009-1-25 11:24:00

本人上贴出现错误，但已超出时限不能删除。已把办法去除，对不起了。

城市猎人_ - 2009-1-25 11:38:00

⊙﹏⊙b汗，我已经生米煮成熟饭了都，为时已晚了.................

还有我把psapi.dll的截图发到上面了，大蜘蛛倒查出好多的东东

aaccbbdd - 2009-1-25 11:48:00

能否把QQ
和劲舞团目录里的psapi.dll
发到可疑文件交流区

qq目录里的是木马下载器
劲舞团里的不清楚:default2:

aaccbbdd - 2009-1-25 11:49:00

sreng-系统修复-高级修复-自动修复

修复下系统

天月来了 - 2009-1-25 12:02:00

按照日期看

劲舞团里的应该没问题

QQ目录里那个是病毒下载器，一运行QQ，就加载它下载病毒了

至于其他盘所有程序同目录内的usp10.dll文件，可能需要设置系统显示隐藏文件、显示系统文件。

然后再搜索了

或者我置顶关于木马群的贴里2楼有搜索方法。找找去

城市猎人_ - 2009-1-25 13:10:00

可不可以把除C盘外其它的盘格式化或删除一些文件，然后还原C盘？

aaccbbdd - 2009-1-25 13:12:00

没必要
日志里没什么病毒

只要删除QQ安装目录的里psapi.dll就行

。。。。
格式化。。。。。。。。
个人认为删除文件比格式化简单

文物2 - 2009-1-25 17:11:00

下载xdelbox
http://www.dodudou.com/down/index.php
重启后删除

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat

在启动文件夹中删除
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Kunbang.exe

leeguit - 2009-1-28 17:19:00

引用:

原帖由 天月来了 于 2009-1-25 12:02:00 发表
按照日期看

劲舞团里的应该没问题

QQ目录里那个是病毒下载器，一运行QQ，就加载它下载病毒了

至于其他盘所有程序同目录内的usp10.dll文件，可能需要设置系统显示隐藏文件、显示系统文件。

然后再搜索了

或者我置顶关于木马群的贴里2楼有搜索方法。找找去

按照这个方法目前来看是解决了. 我说一下我的状况.. 只要运行有USP10文件所在文件夹内的EXE就会在进程中出现一个随机的7位数字. 大概内存2000K左右的进程. 系统开始变慢.

发现问题之前GHOST了系统. (C盘).. 但是问题解决不了。(所以,现在看来不用恢复系统.当然C盘不知道到底有没),,,,,

现在来看是解决了.. 等着. 看有没新问题了.....

谢谢天月

瑞星卡卡安全论坛