瑞星卡卡安全论坛

刚开始好像中了qq中奖病毒，用杀毒软件杀后，清除不干净，一下载东西就带很多病毒。后又用了usplo.dll，psapi.dll工具清理后，再用杀毒软件杀毒，没提示有毒，但瑞信小绿伞变成黄色，我扫了日志，麻烦帮我看看还有没有中毒，谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\74D579D5.dat
C:\WINDOWS\fonts\CtmRes.dll
C:\WINDOWS\fonts\ctm01025.ttf
C:\WINDOWS\fonts\ctm11008.ttf

不论删除结果如何继续下面操作：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\74D579D5.dat><N/A>

——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

删除文件之前，请这里下载手工清理木马群工具包，并解压至C盘文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

首先用工具包内的“可疑文件提取工具”提取下面文件。以附件形式发到论坛上来。

C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\74D579D5.dat
C:\WINDOWS\fonts\CtmRes.dll
C:\WINDOWS\fonts\ctm01025.ttf
C:\WINDOWS\fonts\ctm11008.ttf

包括其他盘各软件程序同目录内的usp10.dll文件，以及QQ目录内的psapi.dll文件都得找到压缩后发来。
可以利用工具包内的wsyscheck工具搜索查找我需要的文件。

没弄干净啊！老大！

你那SRENG日志，不用多看。下面这两项就是证据：
——————————
浏览器加载项

[]
  {6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>

正在运行的进程
[PID: 1016 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\fonts\CtmRes.dll]  [N/A, ]
    [C:\WINDOWS\fonts\ctm01025.ttf]  [N/A, ]
    [C:\WINDOWS\fonts\ctm11008.ttf]  [N/A, ]

按照”天月来了“提示操作，提取文件时，提示”提取失败“，但仍有压缩文件在，现附上，不知行不行

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: ArPick.zip

空的，看来这工具还没法复制那几个文件

用wsyscheck工具，在文件管理中查找我要的文件，复制出来，给我。

用wsyscheck工具没找到版主要的文件，好像被我删掉了
按照版主的操作，瑞星仍是小黄伞呀

再来最新SRENG日志，看你操作的结果怎样

杀毒软件卸载后重装吧，或者去开始菜单找瑞星的“添加删除组件”选择“修复”试试

扫了最新的日志，版主，帮我看看我处理的结果怎么样了
非常感谢您。。。谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

C:\Program Files\Internet Explorer\PowerNeNt.Onz

这文件继续删除

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{A9D9DE0C-FB39-4F1D-932B-99FB860DCED8}><C:\WINDOWS\system32\apdpdegc.dll>  [File is missing]
    <{DF54CC48-6A64-44EB-92D3-08EE2177C709}><C:\WINDOWS\system32\dflkccko.dll>  [File is missing]
    <{29C8CC02-4BD4-4C00-A134-545484714007}><C:\WINDOWS\system32\ipcoccgi.dll>  [File is missing]
    <{F529A0B5-8C42-4E2A-A467-4DAC796C10A8}><C:\WINDOWS\system32\flipagbl.dll>  [File is missing]
    <{6474A61B-B42E-4F84-A3AA-0990660B5715}><C:\WINDOWS\system32\mknkamhb.dll>  [File is missing]
    <{C30E7744-72C0-4EED-96B6-52F294EAA95F}><C:\WINDOWS\system32\cjgennkk.dll>  [File is missing]
    <{B08A738E-DD5E-40E3-B646-0AE285EFC77D}><C:\WINDOWS\system32\bgoanjoe.dll>  [File is missing]
    <{8BABD796-B7AB-4090-8E4D-D983CCB4D8E1}><C:\WINDOWS\system32\obabdnpm.dll>  [File is missing]
    <{99C5C180-71BA-4105-9B6E-8BFCDC54950B}><C:\WINDOWS\system32\ppclchog.dll>  [File is missing]
    <{935F9B96-BCAA-4133-8C80-6A8E5BF1BACC}><C:\WINDOWS\system32\pjlfpbpm.dll>  [File is missing]
    <{BB7CA810-AD4D-4B62-8E12-40DF12BC91F1}><C:\WINDOWS\system32\bbncaohg.dll>  [File is missing]
    <{74974063-F288-46B7-99FB-7756F0EB1CCA}><C:\WINDOWS\system32\nkpnkgmj.dll>  [File is missing]
    <{026BBCC9-8EE7-4016-8105-7BC3C2950DC8}><C:\WINDOWS\system32\gimbbccp.dll>  [File is missing]
    <{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><C:\Program Files\Internet Explorer\PowerNeNt.Onz>  []
    <{92AD87FB-6AB1-4771-82D5-936DDE4960E9}><C:\WINDOWS\system32\piadonfb.dll>  [File is missing]
    <{138B8B7B-28BA-4EBA-A7BB-2FDEAD1B75CB}><C:\WINDOWS\system32\hjobobnb.dll>  [File is missing]
    <{C1B0BD9E-DBD0-49A4-B7AA-90160464B64F}><C:\WINDOWS\system32\chbgbdpe.dll>  [File is missing]
    <{4D06E9AB-50DA-4B96-8D59-588C6A80D3BD}><C:\WINDOWS\system32\kdgmepab.dll>  [File is missing]
    <{36239F47-1D05-4764-B301-ED8A4B3E23AC}><C:\WINDOWS\system32\jmijpfkn.dll>  [File is missing]
    <{CE58F1CB-443D-470A-9096-CCF101C40EB2}><C:\WINDOWS\system32\celofhcb.dll>  [File is missing]
    <{B6F72253-E01F-4105-B819-E65082EEF737}><C:\WINDOWS\system32\bmfniilj.dll>  [File is missing]
    <{A0B98F2D-665D-4A1E-9C16-F3BCABF8AE7B}><C:\WINDOWS\system32\agbpofid.dll>  [File is missing]
    <{3AF19ABB-FFDC-4481-8880-8E7CFD0D651D}><C:\WINDOWS\system32\jafhpabb.dll>  [File is missing]
    <{FDE5787C-049A-4FB3-A9E7-F434BF8E9F5A}><C:\WINDOWS\system32\fdelnonc.dll>  [File is missing]
    <{B486A21F-4595-4053-BA8D-01D8957B0838}><C:\WINDOWS\system32\bkomaihf.dll>  [File is missing]
    <{9212A8F7-F934-48ED-BE47-14AECF42D93B}><C:\WINDOWS\system32\pihiaofn.dll>  [File is missing]
    <{5B06DC4C-240F-452B-9429-7662D2E7E41D}><C:\WINDOWS\system32\lbgmdckc.dll>  [File is missing]
    <A9D9DE0C><C:\WINDOWS\system32\apdpdegc.dll>  [File is missing]
    <DF54CC48><C:\WINDOWS\system32\dflkccko.dll>  [File is missing]
    <29C8CC02><C:\WINDOWS\system32\ipcoccgi.dll>  [File is missing]
    <F529A0B5><C:\WINDOWS\system32\flipagbl.dll>  [File is missing]
    <6474A61B><C:\WINDOWS\system32\mknkamhb.dll>  [File is missing]
    <C30E7744><C:\WINDOWS\system32\cjgennkk.dll>  [File is missing]
    <B08A738E><C:\WINDOWS\system32\bgoanjoe.dll>  [File is missing]
    <8BABD796><C:\WINDOWS\system32\obabdnpm.dll>  [File is missing]
    <99C5C180><C:\WINDOWS\system32\ppclchog.dll>  [File is missing]
    <935F9B96><C:\WINDOWS\system32\pjlfpbpm.dll>  [File is missing]
    <BB7CA810><C:\WINDOWS\system32\bbncaohg.dll>  [File is missing]
    <74974063><C:\WINDOWS\system32\nkpnkgmj.dll>  [File is missing]
    <026BBCC9><C:\WINDOWS\system32\gimbbccp.dll>  [File is missing]
    <92AD87FB><C:\WINDOWS\system32\piadonfb.dll>  [File is missing]
    <138B8B7B><C:\WINDOWS\system32\hjobobnb.dll>  [File is missing]
    <C1B0BD9E><C:\WINDOWS\system32\chbgbdpe.dll>  [File is missing]
    <4D06E9AB><C:\WINDOWS\system32\kdgmepab.dll>  [File is missing]
    <36239F47><C:\WINDOWS\system32\jmijpfkn.dll>  [File is missing]
    <CE58F1CB><C:\WINDOWS\system32\celofhcb.dll>  [File is missing]
    <B6F72253><C:\WINDOWS\system32\bmfniilj.dll>  [File is missing]
    <A0B98F2D><C:\WINDOWS\system32\agbpofid.dll>  [File is missing]
    <3AF19ABB><C:\WINDOWS\system32\jafhpabb.dll>  [File is missing]
    <FDE5787C><C:\WINDOWS\system32\fdelnonc.dll>  [File is missing]
    <B486A21F><C:\WINDOWS\system32\bkomaihf.dll>  [File is missing]
    <9212A8F7><C:\WINDOWS\system32\pihiaofn.dll>  [File is missing]
    <5B06DC4C><C:\WINDOWS\system32\lbgmdckc.dll>  [File is missing]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>
[快捷工具条3.21]
  {BE830FD4-E393-417F-9F4B-CC70ABB3384C} <c:\program files\hottools\ietool.dll, N/A>
[]
  {6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

天月版主，按照您的指示，又操作了，附上日志，帮我看看
但愿没什么问题了吧
谢谢！！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

请接原贴求助

我没时间来回翻看你到底为什么事情上次求助

很好

日志已经看不出什么了

你动手能力不错

可惜你看这位就放弃了

http://bbs.ikaka.com/showtopic-8592364.aspx

天月版主，太感谢你了
谢谢谢谢谢！！！！！O(∩_∩)O~