天月帮忙a 中毒两天后今天 17：17成功杀毒 bbs.ikaka.com

naonaoduouduo - 2009-1-29 13:21:00

看了论坛上的东东
学着弄了
可还是不好。。
请帮帮忙啊
中了特洛伊木马

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

天月来了 - 2009-1-29 13:24:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

JayFaye - 2009-1-29 13:25:00

ls的没上Q？

naonaoduouduo - 2009-1-29 13:43:00

谢谢发了日志帮忙看看哦 :default7:

附件: SREngLOG.log

naonaoduouduo - 2009-1-29 13:55:00

没在了？

天月来了 - 2009-1-29 13:56:00

这里下载手工清理木马群工具包，并解压至C盘文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

然后作好下面操作需要的所有准备，彻底断网处理。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。

如果XDELBOX工具操作中提示出错，不能操作，可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。（全部内附操作说明图）

启动XDELBOX程序。复制粘贴下面文件操作删除：

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat
C:\Program Files\Internet Explorer\PowerNeNt.Onz
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\5733098
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\6177194

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。

———————————————————————
可以这贴里找相同系统里的COMRes.dll和ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\ctfmon.exe和C:\WINDOWS\system32\COMRes.dll替换回正常的系统文件.
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<{98D5FB7B-0087-4546-A827-E3D713AD4601}><C:\WINDOWS\system32\podlfbnb.dll> [File is missing]
<{A513C611-5764-4D5B-88F2-FE1FFBD3BF75}><C:\WINDOWS\system32\alhjcmhh.dll> [File is missing]
<{AA4526E9-1E30-4EA4-AEDD-B3E1754C49A3}><C:\WINDOWS\system32\aaklimep.dll> [File is missing]
<{29837586-FCB8-4C19-8FAE-D552954E006E}><C:\WINDOWS\system32\ipojnlom.dll> [File is missing]
<{47C8C2A3-FBFD-47B6-ADE5-9FBB7E4A1F01}><C:\WINDOWS\system32\kncociaj.dll> [File is missing]
<{DF29E84E-8369-4B1A-BAD7-145A9E2A1281}><C:\WINDOWS\system32\dfipeoke.dll> [File is missing]
<{E296CBA0-CA58-4079-8497-67656D1C2E11}><C:\WINDOWS\system32\eipmcbag.dll> [File is missing]
<{859B73A7-55EB-4B50-8EB5-BDB8C5C0337E}><C:\WINDOWS\system32\olpbnjan.dll> [File is missing]
<{3C89EB75-0A1B-4430-B045-548EF3A532E8}><C:\WINDOWS\system32\jcopebnl.dll> [File is missing]
<{5675CA69-E4AB-4C06-8051-24DF9985DFC4}><C:\WINDOWS\system32\lmnlcamp.dll> [File is missing]
<{9C812570-B423-4981-BF04-F8C10041C27C}><C:\WINDOWS\system32\pcohilng.dll> [File is missing]
<{D8F49EE4-FECA-4241-B39E-721D49B0D3BE}><C:\WINDOWS\system32\dofkpeek.dll> [File is missing]
<{A11927E5-1EB5-44D1-B5E2-819F5FCB3E90}><C:\WINDOWS\system32\ahhpinel.dll> [File is missing]
<{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><C:\Program Files\Internet Explorer\PowerNeNt.Onz> []
<416E29B8><> [N/A]
<3B587DC3><> [N/A]
<DA8A39CA><> [N/A]
<C66E826C><> [N/A]
<CDF01D10><> [N/A]
<A33C129A><> [N/A]
<7C154C6D><> [N/A]
<12D30445><> [N/A]
<FFC42CA4><> [N/A]
<70346AAD><> [N/A]
<B7265D68><> [N/A]
<C9B6CE3F><> [N/A]
<A49224DD><> [N/A]
<50E0D8B3><> [N/A]
<98D5FB7B><C:\WINDOWS\system32\podlfbnb.dll> [File is missing]
<A513C611><C:\WINDOWS\system32\alhjcmhh.dll> [File is missing]
<AA4526E9><C:\WINDOWS\system32\aaklimep.dll> [File is missing]
<29837586><C:\WINDOWS\system32\ipojnlom.dll> [File is missing]
<47C8C2A3><C:\WINDOWS\system32\kncociaj.dll> [File is missing]
<DF29E84E><C:\WINDOWS\system32\dfipeoke.dll> [File is missing]
<E296CBA0><C:\WINDOWS\system32\eipmcbag.dll> [File is missing]
<859B73A7><C:\WINDOWS\system32\olpbnjan.dll> [File is missing]
<3C89EB75><C:\WINDOWS\system32\jcopebnl.dll> [File is missing]
<5675CA69><C:\WINDOWS\system32\lmnlcamp.dll> [File is missing]
<9C812570><C:\WINDOWS\system32\pcohilng.dll> [File is missing]
<D8F49EE4><C:\WINDOWS\system32\dofkpeek.dll> [File is missing]
<A11927E5><C:\WINDOWS\system32\ahhpinel.dll> [File is missing]
<IFEO[Thunder5.exe]><svchost.exe> [(Verified)Microsoft Windows Publisher]
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>
[]
{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

naonaoduouduo - 2009-1-29 14:05:00

看着都晕:default3: 先试下~~

naonaoduouduo - 2009-1-29 14:15:00

可以这贴里找相同系统里的COMRes.dll和ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\ctfmon.exe和C:\WINDOWS\system32\COMRes.dll替换回正常的系统文件.

不好意思以上内容能否再解释一下不太会弄哦

天月来了 - 2009-1-29 14:26:00

可以这贴里找相同系统里的COMRes.dll和ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

这就是说相同系统的相同文件，你找不到？不会找？？？
你如果一直连网，病毒会下载的越来越多。

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\ctfmon.exe和C:\WINDOWS\system32\COMRes.dll替换回正常的系统文件.

这可是有详细附带说明的哟，自己不细看，我也无奈了

naonaoduouduo - 2009-1-29 15:41:00

用了你教的方法做了一遍

可是现在杀毒又有毒了该怎么办呢？

太恐怖了连xdelbox都显示有病毒啦

真是要疯啦

天月来了 - 2009-1-29 15:45:00

就知道你要说xdelbox都显示有病毒

那是它删除病毒文件时备份在文件夹里的

将那个xdelbox的备份文件夹Backup文件夹压缩后发来

不要拖拉

naonaoduouduo - 2009-1-29 15:50:00

病毒名称处理结果发现日期查杀方式路径文件病毒来源
Hack.Exploit.Win32.MS08-067.c 不处理 2009-01-29 15:38:37 手动查杀 C:\XDelBox删除文件工具\backups 6177194.bak>>fsg2.0>>RING0BIN>>upx_c 本地服务器
Trojan.PSW.Win32.GameOL.uco 不处理 2009-01-29 15:38:00 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODE3S5UVnew5[1].exe>>upx_c>>65 本地服务器
Trojan.PSW.Win32.GameOL.ucz 不处理 2009-01-29 15:38:00 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODE3S5UVnew5[1].exe>>upx_c>>66 本地服务器
Trojan.PSW.Win32.GameOL.udl 不处理 2009-01-29 15:37:58 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODE3S5UVnew3[1].exe>>upx_c>>66 本地服务器
Trojan.PSW.Win32.GameOL.uec 不处理 2009-01-29 15:37:58 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8new7[1].exe>>upx_c>>66 本地服务器
Trojan.PSW.Win32.QQPass.dzj 不处理 2009-01-29 15:37:57 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8new4[1].exe>>fsg2.0 本地服务器
Trojan.PSW.Win32.GameOL.uds 不处理 2009-01-29 15:37:56 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8new2[1].exe>>upx_c>>66 本地服务器
Trojan.PSW.Win32.GameOL.udx 不处理 2009-01-29 15:37:56 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WXP5OYE3new6[1].exe>>upx_c>>66 本地服务器
Trojan.PSW.Win32.QQPass.dzj 不处理 2009-01-29 15:37:54 手动查杀 C:\Documents and Settings\Administrator\Local Settings\Temp 433957>>fsg2.0 本地服务器
Trojan.PSW.Win32.GameOL.ucz 不处理 2009-01-29 15:36:23 手动查杀 C:\WINDOWS\Fonts ctm04004.ttf 本地服务器

天月来了 - 2009-1-29 15:52:00

C:\XDelBox删除文件工具\backups 文件夹压缩发来

我不看你的日志

反复杀毒没毒后，就再来个最新SRENG日志看操作结果如何

naonaoduouduo - 2009-1-29 15:56:00

谢谢

附件: XDelBox.rar

附件: backups.rar

naonaoduouduo - 2009-1-29 15:59:00

最新的日志谢谢

附件: 1SREngLOG.log

caogensk - 2009-1-29 16:09:00

ctfmon.exe还是被感染。再重新替换一下。
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表

<{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><> [N/A]
<{E3C27967-BE32-4742-877F-4B8B116BDEB0}><C:\WINDOWS\system32\ejcinpmn.dll> [File is missing]
<{6D6B927F-7588-4D68-837B-F7CFF4C3361D}><C:\WINDOWS\system32\mdmbpinf.dll> [File is missing]
<{25DCA2F8-A1DF-4B15-B68C-7EDD75157CC7}><C:\WINDOWS\system32\ildcaifo.dll> [File is missing]
<{B9D1D49A-263C-4F9B-8C70-B3E0FF3FB52B}><C:\WINDOWS\system32\bpdhdkpa.dll> [File is missing]
用Xdelbox删除

C:\WINDOWS\system32\ejcinpmn.dll
C:\WINDOWS\system32\mdmbpinf.dll
C:\WINDOWS\system32\ildcaifo.dll
C:\WINDOWS\system32\bpdhdkpa.dll
C:\WINDOWS\fonts\ctm04004.ttf
日志看的不多，只能看出这么多了。等高手看。

JayFaye - 2009-1-29 16:11:00

下载附件，解压到C盘，运行Antivirus.exe这个文件，按提示操作即可

附件: Antivirus.rar

naonaoduouduo - 2009-1-29 16:34:00

各种方法都用过了
木马少了很多
刚才杀毒
现在剩十几个了
比以前动辄七八十个强多了

谢谢大家尤其是天月
希望大家再帮忙看看~~~争取把最后的几个杀掉

天月来了 - 2009-1-29 16:39:00

还是需要最新日志看你到底操作的效果怎样

必须快

不能拖

你看你还光顾说话，不来最新日志

naonaoduouduo - 2009-1-29 16:45:00

sre 打开的时候总是提示 1. 入口点错误 2. appinit_dlls 值被改动

附件: SREngLOG.log

天月来了 - 2009-1-29 16:48:00

这两个提示和你无关

我置顶工具贴有说明

naonaoduouduo - 2009-1-29 16:49:00

sre 打开的时候总是提示 1. 入口点错误 2. appinit_dlls 值被改动

附件: SREngLOG.log

JayFaye - 2009-1-29 16:51:00

晕，不是没毒了吗，只是些注册表残留信息
硬盘上可能还有些病毒尸体，可以暂时不管它，属于无效文件了，等瑞星更新病毒库来个大清除吧

SREng的提示不用理会，正常的，和病毒无关

天月来了 - 2009-1-29 16:51:00

删除下面残余项目
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<E3C27967><C:\WINDOWS\system32\ejcinpmn.dll> [File is missing]
<6D6B927F><C:\WINDOWS\system32\mdmbpinf.dll> [File is missing]
<25DCA2F8><C:\WINDOWS\system32\ildcaifo.dll> [File is missing]
<B9D1D49A><C:\WINDOWS\system32\bpdhdkpa.dll> [File is missing]

——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=479547

日志看不出什么了

你再反复杀毒，还会反复杀出的病毒，一定要知道它的详细路径，去手工删除文件。

天月来了 - 2009-1-29 16:52:00

你动手能力还行

难得见一个自助清理完的

naonaoduouduo - 2009-1-29 17:13:00

谢谢大家啊在天月的帮助下终于这次杀毒成功啦 :default6:
来这里最大的收获就是以后电脑有问题首先要把SRENG日志发这论坛再次谢谢大家特别是天月:default5:

瑞星卡卡安全论坛