瑞星卡卡安全论坛

前几天不小心中了木马，进程里总是出现数字类进程，瑞星杀毒也杀不了，然后瑞星干脆被木马给黑了，无法启动，侥幸启动后没一会就死机。昨天杀出Trojan.psw.onlinegame的病毒和anymie360.exe，但是总杀不了，我用了很多工具，专杀，windows清理等。我还注意到，每次开瑞星产品和QQ，游戏，进程里就会出数字类的，然后电脑就死了。
这是我刚弄的SRENG扫描结果
我现在没装杀毒软件，感觉装了更糟。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG3.log

下载附件，解压到C盘，运行Antivirus.exe，点开始处理

然后会自动重启系统，重启后再扫一个SREng的LOG上来

附件: SREngLOG4.log

刚才启动SRENG时提示说很多入口点错误

刚才SREng的LOG有病毒，但几乎没有木马群，这次新的LOG看到了，也正如所料，重新下载2楼的附件（已更新）杀毒

杀毒重启后还需扫LOG，因为木马群一直在变化，必须确保完全清除干净





——OK，既然等了半天没见回音也没见下载附件，本人最鄙视的就是说着说着突然消失的求助者，表面上心急如焚，2楼的附件删除了

...............家里来客人了．．．:default2:

晕，不知道这段时间你有重启系统没有，过了这么久建议你重新扫一个SREng的LOG上来，病毒可能已更新

现在又过去半小时了

你再扫最新日志吧

千万别再跑了

因为病毒不断变化

恩，刚才家里来客人，去招呼了，不好意思

正在扫描，我运行游戏后就被自动关了或者死机

这是最新的

附件: SREngLOG5.log

附件: SREngLOG5.log

和刚才的操作一样，处理重启后再扫LOG，呵呵，是有点麻烦，病毒在变

附件: Antivirus.rar

先搜索QQ安装目录里是否有psapi.dll
如有
删除之

然后搜索C盘外usp10.dll
全部删除


1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\fonts\comres.dll
c:\windows\fonts\ctm01025.ttf
c:\windows\fonts\ctm04004.ttf
c:\windows\system32\aedhpnhf.dll
c:\windows\system32\bfiolhfa.dll
c:\windows\system32\cccmlade.dll
c:\windows\system32\ddckfnpa.dll
c:\windows\system32\hemjmcjm.dll
c:\windows\system32\ijhobnjp.dll
c:\windows\system32\kcmpefif.dll
c:\windows\system32\mngjekni.dll
c:\windows\system32\pfgejjkl.dll
c:\windows\fonts\comres.dll
c:\windows\system32\5143916e.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[9F0E3345]    <C:\WINDOWS\system32\pfgejjkl.dll>
[9F0E3345]    <C:\WINDOWS\system32\pfgejjkl.dll>
[AED1971F]    <C:\WINDOWS\system32\aedhpnhf.dll>
[CCC65ADE]    <C:\WINDOWS\system32\cccmlade.dll>
[4C69EF2F]    <C:\WINDOWS\system32\kcmpefif.dll>
[1E636C36]    <C:\WINDOWS\system32\hemjmcjm.dll>
[BF2851FA]    <C:\WINDOWS\system32\bfiolhfa.dll>
[6703E472]    <C:\WINDOWS\system32\mngjekni.dll>
[2318B739]    <C:\WINDOWS\system32\ijhobnjp.dll>
[DDC4F79A]    <C:\WINDOWS\system32\ddckfnpa.dll>
[{9F0E3345-2BF2-47A4-9560-6099D43C1C18}]    <C:\WINDOWS\system32\pfgejjkl.dll>
[{AED1971F-20AD-4107-84F2-414EEB1497DA}]    <C:\WINDOWS\system32\aedhpnhf.dll>
[{CCC65ADE-DDA4-427C-8929-218CF059A225}]    <C:\WINDOWS\system32\cccmlade.dll>
[{4C69EF2F-2360-4D8F-900B-BEE584AD8474}]    <C:\WINDOWS\system32\kcmpefif.dll>
[{1E636C36-D540-456F-8777-CF71B9CF70D2}]    <C:\WINDOWS\system32\hemjmcjm.dll>
[{BF2851FA-3EB1-40AF-B894-02C2BB853E0C}]    <C:\WINDOWS\system32\bfiolhfa.dll>
[{6703E472-FCAF-4540-B0F3-A91E19CE4F4D}]    <C:\WINDOWS\system32\mngjekni.dll>
[{2318B739-E970-46AF-8615-7D40FB7A4229}]    <C:\WINDOWS\system32\ijhobnjp.dll>
[{DDC4F79A-879E-44AA-A523-5E88580CE1AE}]    <C:\WINDOWS\system32\ddckfnpa.dll>
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\ComRes.dll kmon.dll,ddckfnpa.dll,ijhobnjp.dll,mngjekni.dll,bfiolhfa.dll,hemjmcjm.dll,kcmpefif.dll,cccmlade.dll,aedhpnhf.dll,pfgejjkl.dll>修改为<kmon.dll>
    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）



[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\5143916E.dat>

呵呵！！

看你助人

是我最开心的事:default6:

谢谢高人的指点，现在正在扫描中！！！:default5:

附件: SREngLOG6.log

先搜索QQ安装目录里是否有psapi.dll
如有
删除之

然后搜索C盘外usp10.dll
全部删除


1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。




c:\windows\system32\5143916e.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[9F0E3345]    <C:\WINDOWS\system32\pfgejjkl.dll>
[9F0E3345]    <C:\WINDOWS\system32\pfgejjkl.dll>
[AED1971F]    <C:\WINDOWS\system32\aedhpnhf.dll>
[CCC65ADE]    <C:\WINDOWS\system32\cccmlade.dll>
[4C69EF2F]    <C:\WINDOWS\system32\kcmpefif.dll>
[1E636C36]    <C:\WINDOWS\system32\hemjmcjm.dll>
[BF2851FA]    <C:\WINDOWS\system32\bfiolhfa.dll>
[6703E472]    <C:\WINDOWS\system32\mngjekni.dll>
[2318B739]    <C:\WINDOWS\system32\ijhobnjp.dll>
[DDC4F79A]    <C:\WINDOWS\system32\ddckfnpa.dll>
[{9F0E3345-2BF2-47A4-9560-6099D43C1C18}]    <C:\WINDOWS\system32\pfgejjkl.dll>
[{AED1971F-20AD-4107-84F2-414EEB1497DA}]    <C:\WINDOWS\system32\aedhpnhf.dll>
[{CCC65ADE-DDA4-427C-8929-218CF059A225}]    <C:\WINDOWS\system32\cccmlade.dll>
[{4C69EF2F-2360-4D8F-900B-BEE584AD8474}]    <C:\WINDOWS\system32\kcmpefif.dll>
[{1E636C36-D540-456F-8777-CF71B9CF70D2}]    <C:\WINDOWS\system32\hemjmcjm.dll>
[{BF2851FA-3EB1-40AF-B894-02C2BB853E0C}]    <C:\WINDOWS\system32\bfiolhfa.dll>
[{6703E472-FCAF-4540-B0F3-A91E19CE4F4D}]    <C:\WINDOWS\system32\mngjekni.dll>
[{2318B739-E970-46AF-8615-7D40FB7A4229}]    <C:\WINDOWS\system32\ijhobnjp.dll>
[{DDC4F79A-879E-44AA-A523-5E88580CE1AE}]    <C:\WINDOWS\system32\ddckfnpa.dll>
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\ComRes.dll kmon.dll,ddckfnpa.dll,ijhobnjp.dll,mngjekni.dll,bfiolhfa.dll,hemjmcjm.dll,kcmpefif.dll,cccmlade.dll,aedhpnhf.dll,pfgejjkl.dll> 修改为<kmon.dll>
    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）



[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\5143916E.dat>

首先谢谢大家的热心帮助，有点疑问，JayFaye 和aaccbbdd的方法能同时进行吗？

没看我刚刚改了方法

c:\windows\fonts\comres.dll
c:\windows\fonts\ctm01025.ttf
c:\windows\fonts\ctm04004.ttf
c:\windows\system32\aedhpnhf.dll
c:\windows\system32\bfiolhfa.dll
c:\windows\system32\cccmlade.dll
c:\windows\system32\ddckfnpa.dll
c:\windows\system32\hemjmcjm.dll
c:\windows\system32\ijhobnjp.dll
c:\windows\system32\kcmpefif.dll
c:\windows\system32\mngjekni.dll
c:\windows\system32\pfgejjkl.dll
c:\windows\fonts\comres.dll
已经被清除了

病毒已经杀掉了，只有一个驱动文件没有删除（这是预料之中的事情），这个驱动文件是：
c:\windows\system32\5143916e.dat

剩下的全部按照18楼的操作吧（不用搜索usp10.dll和psapi.dll了，刚才给你的工具已经将它们清除了），呵呵，然后就OK了

这样子你就轻松了:default6:

啊呀，刚才我在等你们回复时，电脑蓝屏了，我重启后，登陆论坛没几秒，电脑又死机了，ＣＤＥＦ盘都自动检测．．．郁闷死我了

可能是剩下的那个病毒驱动造成的，也可能是瑞星被破坏或被那个驱动文件干扰造成的，总之先把那个被保护的病毒驱动删除掉，注册表清理了再说吧
你认为什么都完成了可以再扫一个LOG上来体检体检

这毒开始对系统构成未知的影响了

看来再发展下去

不容易手工清理回一个正常系统了:default2:

win.ini中可能有一些未修改的项．开机后会重复感染．

还应该到别的机器上拷一份usrinit.exe文件

楼主应该看一下置顶中猫叔和天月来了的贴子

我刚才按照aaccbbdd的方法处理完，还没重启，电脑就蓝屏了:default3: 现在正在用SRENG扫描

这是最新的ＬＯＧ

附件: SREngLOG7.log

好了，没问题了，删除IFEO