大家来帮忙解决下 bbs.ikaka.com

秒度 - 2009-1-26 15:22:00

我的电脑前些天中了个不知道是什么的病毒现在只要运行魔兽世界 QQ 等软件瑞星就出现有东西修改注册表的选项但是我无论点放行禁止还是结束程序点了以后结果都一样瑞星杀毒软件防火墙等等防护软件全部被关闭（系统托盘下的小绿伞小盾牌等等全没了）而且有很多修改注册表和安装驱动的选项我重做了下系统刚刚在安装影子系统的时候又出现了..（影子系统没毒）怎么办啊？你们可以看下知道怎么解决的告诉下谢谢！

操作时间进程名称数值名称旧值新值
修改 2009-01-26 14:54:37 E:\QQ\BIN\QQ.EXE HKEY_CLASSES_ROOT\TXTFILE\SHELL\OPEN\COMMAND\ %SystemRoot%\system32\NOTEPAD.EXE %1 C:\WINDOWS\notepad.exe %1
修改 2009-01-26 15:06:34 E:\影子系统\POWERSHADOW\第一部分.EXE HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\RUNSHADOWTIP 0 C:\WINDOWS\system32\shadow\ShadowTip.exe
创建 2009-01-26 15:06:44 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\2717879 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\THUNDER5.EXE\

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

秒度 - 2009-1-26 15:26:00

在线等！！！！！！！！！！！

夲號ヱ被ジ盜 - 2009-1-26 15:32:00

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\271787.txt
粉碎
这个是Trojan.PSW.QQPASS盗！号！木！马！

请去官网下载最新版本SREng工具使用：

http://www.kztechs.com/sreng/download.html
操作说明看着
http://bbs.ikaka.com/showtopic-8545446.aspx

秒度 - 2009-1-26 15:34:00

饿我没有这个文件...怎么办啊

天月来了 - 2009-1-26 15:34:00

将你确定正常的东西，在提示出现时，加入白名单

现在的病毒行为和正常软件的行为几乎一样

安全软件在监控可能的病毒行为时，也会对正常软件的行为进行提示

所以你必须去面对这提示

当提示出现时，对于你确定正常的程序，就加入白名单

否则没别的办法

要么你临时关闭安全软件的监控

秒度 - 2009-1-26 15:39:00

饿我是菜鸟怎么能完全解决这个病毒呢？请告诉下流程不胜感激...

秒度 - 2009-1-26 15:47:00

问下如果我把除了C盘的所有东西都格式化以后再重做系统这个病毒能挂掉不？

天月来了 - 2009-1-26 15:54:00

应该能

但是你必须删除我置顶贴关于木马群的贴里

其他盘所有程序同目录内的一些文件

你去详细看吧

秒度 - 2009-1-26 15:59:00

我的这个病毒是木马群吗

秒度 - 2009-1-26 16:05:00

晕了我怎么连迅雷都打不开了

天月来了 - 2009-1-26 16:09:00

这次的木马群只劫持瑞星安全软件和迅雷下载器的主程序

其他下载器没问题，其他安全软件也没问题

秒度 - 2009-1-26 16:53:00

天月来了我用你那个自动清理木马群的工具清理了下找出来好多重启以后又杀了遍没了但是寻类还是打不开我重做了系统然后又清理了一便又有不少然后又重启又清理了一便现在这个木马群还有吗

秒度 - 2009-1-26 17:03:00

http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=8591389#9376624 这个帖子谢谢！

天月来了我用你那个自动清理木马群的工具清理了下找出来好多重启以后又杀了遍没了但是寻类还是打不开我重做了系统然后又清理了一便又有不少然后又重启又清理了一便现在这个木马群还有吗

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

天月来了 - 2009-1-26 17:04:00

我说的QQ目录内怎样呢？？

清理后，那工具同目录内有日志生成的

你发我看看

还有系统还异常吗？？

扫描最新日志来看

秒度 - 2009-1-26 17:11:00

我给你发下
E:\Backup\D@Program Files@Tencent@QQ@usp10.dll
删除成功
恢复属性

E:\Backup\D@Downloads@usp10.dll
删除成功
恢复属性

E:\Backup\D@新建文件夹@World of Warcraft Installer@DirectX@usp10.dll
删除成功
恢复属性

E:\Backup\D@新建文件夹@World of Warcraft Installer@usp10.dll
删除成功
恢复属性

E:\Backup\D@魔兽世界补丁@WoW-2.4.3-to-3.0.5-installer@DirectX@usp10.dll
删除成功
恢复属性

E:\Backup\D@魔兽世界补丁@WoW-2.4.3-to-3.0.5-installer@usp10.dll
删除成功
恢复属性

E:\Backup\E@魔兽争霸3冰封王座@WC3@Warcraft III@usp10.dll
删除成功
恢复属性

E:\Backup\E@魔兽争霸3冰封王座@WC3@usp10.dll
删除成功
恢复属性

E:\Backup\E@UTG@UT Game@UTGWatch@usp10.dll
删除成功
恢复属性

E:\Backup\E@UTG@UT Game@GameLobby@usp10.dll
删除成功
恢复属性

E:\Backup\E@UTG@UT Game@usp10.dll
删除成功
恢复属性

E:\Backup\E@UTG@usp10.dll
删除成功
恢复属性

E:\Backup\E@浩方对战平台@Platform@csplugin@usp10.dll
删除成功
恢复属性

E:\Backup\E@浩方对战平台@Platform@usp10.dll
删除成功
恢复属性

E:\Backup\E@浩方对战平台@usp10.dll
删除成功
恢复属性

E:\Backup\E@爆吧工具@花生壳@usp10.dll
删除成功
恢复属性

E:\Backup\E@爆吧工具@usp10.dll
删除成功
恢复属性

E:\Backup\E@按键精灵@按键精灵@jdyou@usp10.dll
删除成功
恢复属性

E:\Backup\E@按键精灵@按键精灵@usp10.dll
删除成功
恢复属性

E:\Backup\E@按键精灵@usp10.dll
删除成功
恢复属性

E:\Backup\E@皮肤制作@skin_editor@usp10.dll
删除成功
恢复属性

E:\Backup\E@鬼泣3@Devil May Cry 3 Special Edition@usp10.dll
删除成功
恢复属性

E:\Backup\E@鬼泣3@鬼泣3全集@鬼泣3外挂@usp10.dll
删除成功
恢复属性

E:\Backup\E@鬼泣3@鬼泣3全集@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero Home@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Core@SecurDisc@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Core@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero Vision@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero StartSmart@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero CoverDesigner@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero@Uninstall@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero Toolkit@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero BackItUp@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero WaveEditor@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero SoundTrax@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero ShowTime@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero MediaHome@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero Recode@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero PhotoSnap@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero ImageDrive@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero Fast CD-DVD Burning Plug-in@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@Nero 7@Nero Mobile@usp10.dll
删除成功
恢复属性

E:\Backup\E@NERO@usp10.dll
删除成功
恢复属性

E:\Backup\E@镜像文件@usp10.dll
删除成功
恢复属性

E:\Backup\E@飞信@usp10.dll
删除成功
恢复属性

E:\Backup\E@模拟人生@usp10.dll
删除成功
恢复属性

E:\Backup\E@魔兽插件@usp10.dll
删除成功
恢复属性

E:\Backup\E@奇迹世界@HShield@Update@usp10.dll
删除成功
恢复属性

E:\Backup\E@奇迹世界@HShield@usp10.dll
删除成功
恢复属性

E:\Backup\E@奇迹世界@usp10.dll
删除成功
恢复属性

E:\Backup\E@影子系统@powershadow@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@QQ防拉黑@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@TOMCAT抓鸡@牛族TOMCAT@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@TOMCAT抓鸡@政政TomCat批量抓鸡器Ver1.0 免费版--安全中国anqn.com@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@TOMCAT抓鸡@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@免杀@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@新建文件夹@usp10.dll
删除成功
恢复属性

E:\Backup\E@黑客软件@usp10.dll
删除成功
恢复属性

E:\Backup\E@新建文件夹@变速精灵@usp10.dll
删除成功
恢复属性

E:\Backup\E@武林外传@安装版@usp10.dll
删除成功
恢复属性

E:\Backup\E@MD5码验证@usp10.dll
删除成功
恢复属性

E:\Backup\E@新建文件夹 (2)@usp10.dll
删除成功
恢复属性

E:\Backup\E@地下城勇士@start@DNFBS@usp10.dll
删除成功
恢复属性

E:\Backup\E@地下城勇士@start@KeyCrypt@usp10.dll
删除成功
恢复属性

E:\Backup\E@地下城勇士@start@usp10.dll
删除成功
恢复属性

E:\Backup\E@地下城勇士@usp10.dll
删除成功
恢复属性

E:\Backup\E@比特精灵@BitSpirit@usp10.dll
删除成功
恢复属性

E:\Backup\E@比特精灵@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@新建文件夹@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@QQ密码本地破解@Driver@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@QQ密码本地破解@Winrtgen@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@QQ密码本地破解@cain@Cain4.9@Winrtgen@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@QQ密码本地破解@cain@Cain4.9@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@QQ密码本地破解@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@啊D@啊D注入工具 V2.32@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@远程控制@木马帝国远程控制@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ复仇器@本地破解QQmima@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ炫舞@QQ炫舞@bin@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ炫舞@QQ炫舞@bin@update@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ炫舞@QQ炫舞@Data@Effects@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ炫舞@QQ炫舞@usp10.dll
删除成功
恢复属性

E:\Backup\E@QQ炫舞@usp10.dll
删除成功
恢复属性

E:\Backup\E@usp10.dll
删除成功
恢复属性

E:\Backup\F@魔兽世界@World of Warcraft@usp10.dll
删除成功
恢复属性

E:\Backup\F@魔兽世界@usp10.dll
删除成功
恢复属性

我现在刚刚做好系统没安装杀毒软件呢没敢动
另外我在我QQ的BIN文件里发现了psapi.dll 文件怎么发上来啊

秒度 - 2009-1-26 17:17:00

这个就是 psapi.dll 不能直接传所以我就打包了

附件: psapi.rar

秒度 - 2009-1-26 17:21:00

OK 我发上来了你看下我发的日至你看的正常吗我没有发现镜象劫持系统也有很多垃圾文件现在你说还有毒吗

秒度 - 2009-1-26 17:28:00

这个病毒会往解压包里面植入吗

天月来了 - 2009-1-26 17:32:00

不会

你如果愿意的话

就再次重做了系统，然后进新系统的第一次，就立即去继续使用我那清理工具清理这两个文件

我已更新那清理工具，你去重新下载吧

你刚才发的psapi.dll 文件已确定是病毒，目前瑞星最新版不杀

你还是利用我那清理工具清理吧。已添加了。

秒度 - 2009-1-26 17:38:00

我用你更新了的查了下没有发现病毒我觉得没了所以没有再重新做系统
你觉得呢

秒度 - 2009-1-26 17:42:00

我塞我用wsyscheck中文版查找USP10.DLL 文件大小限制在30KB 查出来不少是木马群吗

秒度 - 2009-1-26 17:56:00

是木马群吗

天月来了 - 2009-1-26 18:03:00

我只需要文件量小于20kb的。

你根本就没去细看我置顶木马群的贴

那里全部有你要问的东西

你用wsyscheck查找USP10.DLL 文件大小限制在30KB

查出的那么多，为什么就不想给我一部分？？？

我到处等求助的提供此病毒文件

就是没人理我

天月来了 - 2009-1-26 18:08:00

你没看我19楼的内容

你还需要删除psapi.dll 文件

这文件我不知道你那还有几个，所以我又添加至置顶那贴的清理工具内了。

秒度 - 2009-1-26 18:10:00

那我再引点毒给你发来行了吧

天月来了 - 2009-1-26 18:10:00

不需要

没什么必要了

瑞星卡卡安全论坛