瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 高人,救救我吧,我被此病毒打败了!在线等。。。救命啊
中毒者一号 - 2009-1-30 20:59:00
进程中莫名的出现纯数字的进程,一键还原后没用,很奇怪,还原后没有打开任何其他盘。直接开进程就可以发现数字的进程。以前的经验是中毒后还原,然后杀毒就干净了,这次搞不定了。看了介绍说,很多人格式化C盘重装系统都不行。我只想怎么能把其他盘里的病毒杀死,然后可以让我还原系统就可以了。全盘格式话的话不行,其他盘里有很多重要资料。。附近是刚保存的报告,麻烦高手帮忙看下。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; (R1 1.5))

附件: SREngLOG.log
夲號ヱ被ジ盜 - 2009-1-30 21:02:00
USP10.DLL机器狗
穿GHOST穿还原,鉴定完毕
试着用置顶帖的方法
http://bbs.ikaka.com/showtopic-8592261.aspx
http://bbs.ikaka.com/showtopic-8592394.aspx
aaccbbdd - 2009-1-30 21:03:00
请上传
d:\应用软件\maxthon\usp10.dll
急需样本


1.搜索C盘外全部usp10.dll
全部删除
删除QQ安装目录里的psapi.dll

2.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\dgcdmehn.dll
c:\windows\system32\adcffhjd.dll
c:\windows\system32\dahofmoi.dll
c:\windows\system32\emccgapc.dll
c:\windows\system32\eghaefle.dll
c:\windows\system32\cpfjcafo.dll
c:\windows\system32\mbcbdfob.dll
c:\windows\system32\ifelgmgn.dll
c:\windows\system32\feegcbif.dll
c:\windows\system32\oninapfi.dll
c:\windows\system32\khkkldge.dll
c:\windows\system32\gliekgpg.dll
c:\windows\system32\1a10b8f8.dat
c:\windows\system32\drivers\msiffei.sys

3.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[D0CD6E17]    <C:\WINDOWS\system32\dgcdmehn.dll>
[ADCFF13D]    <C:\WINDOWS\system32\adcffhjd.dll>
[DA18F682]    <C:\WINDOWS\system32\dahofmoi.dll>
[E6CC0A9C]    <C:\WINDOWS\system32\emccgapc.dll>
[E01AEF5E]    <C:\WINDOWS\system32\eghaefle.dll>
[C9F3CAF8]    <C:\WINDOWS\system32\cpfjcafo.dll>
[6BCBDF8B]    <C:\WINDOWS\system32\mbcbdfob.dll>
[2FE50607]    <C:\WINDOWS\system32\ifelgmgn.dll>
[FEE0CB2F]    <C:\WINDOWS\system32\feegcbif.dll>
[8727A9F2]    <C:\WINDOWS\system32\oninapfi.dll>
[41445D0E]    <C:\WINDOWS\system32\khkkldge.dll>
[052E4090]    <C:\WINDOWS\system32\gliekgpg.dll>
[{D0CD6E17-3E2D-413F-871C-B71B48D4232E}]    <C:\WINDOWS\system32\dgcdmehn.dll>
[{ADCFF13D-EE38-464A-8E3A-A70E895E4FC8}]    <C:\WINDOWS\system32\adcffhjd.dll>
[{DA18F682-98E0-4BF7-BA8C-99D4E97859E8}]    <C:\WINDOWS\system32\dahofmoi.dll>
[{E6CC0A9C-5C5E-477D-AF40-BC54A41411A2}]    <C:\WINDOWS\system32\emccgapc.dll>
[{E01AEF5E-2089-4353-88ED-7B6892BA1762}]    <C:\WINDOWS\system32\eghaefle.dll>
[{C9F3CAF8-25C3-4C47-B76C-EFA3398C4D2E}]    <C:\WINDOWS\system32\cpfjcafo.dll>
[{6BCBDF8B-6850-489A-8CCA-8444880B5FF2}]    <C:\WINDOWS\system32\mbcbdfob.dll>
[{2FE50607-C7AF-4D8D-AC4B-4FEABEEEF273}]    <C:\WINDOWS\system32\ifelgmgn.dll>
[{FEE0CB2F-D7E1-40DB-865D-0687A58EDFCB}]    <C:\WINDOWS\system32\feegcbif.dll>
[{8727A9F2-531D-4FF9-9CD3-34BCB8F9822E}]    <C:\WINDOWS\system32\oninapfi.dll>
[{41445D0E-6A2E-47D2-9C10-DF69493ABE32}]    <C:\WINDOWS\system32\khkkldge.dll>
[{052E4090-4539-4400-98A0-24E6D2FDA8C5}]    <C:\WINDOWS\system32\gliekgpg.dll>
[IFEO[Thunder5.exe]]    <svchost.exe>
注意该项[AppInit_DLLs]修改:把<dgcdmehn.dll,adcffhjd.dll,dahofmoi.dll,emccgapc.dll,eghaefle.dll,cpfjcafo.dll,mbcbdfob.dll,ifelgmgn.dll,feegcbif.dll,oninapfi.dll,khkkldge.dll,gliekgpg.dll,>修改为<>即清空


    启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)


[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\1A10B8F8.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
aaccbbdd - 2009-1-30 21:03:00
这次没穿成:default6:
JayFaye - 2009-1-30 21:07:00
下载附件,解压到C盘,运行Antivirus,点开始处理
然后会自动重启,重启后再扫一个LOG上来,应该有个病毒文件是无法删除的,等会再用DOS删除

附件: Antivirus.rar
中毒者一号 - 2009-1-30 21:09:00
[quote] 原帖由 aaccbbdd 于 2009-1-30 21:03:00 发表
请上传
d:\应用软件\maxthon\usp10.dll
急需样本


老大,样本给你,请教教我怎么解决吧!不希望格式化其他盘,如果只是C盘还可以

附件: usp10.rar
夲號ヱ被ジ盜 - 2009-1-30 21:15:00
USP10.DLL变种了
变成了强烈感染性的。。。。。
请问你的瑞星之类的软件能运行吗
中毒者一号 - 2009-1-30 21:15:00


引用:
原帖由 JayFaye 于 2009-1-30 21:07:00 发表
下载附件,解压到C盘,运行Antivirus,点开始处理
然后会自动重启,重启后再扫一个LOG上来,应该有个病毒文件是无法删除的,等会再用DOS删除




高人,新的,按照你的步骤做的,请过目

附件: SREngLOG.log
中毒者一号 - 2009-1-30 21:18:00
大侠,我哭了,所有的杀软都不能运行。360能查出来,然后还没重起就被干掉了。:default2:
我现在担心的是,1:会不会通过网上邻居感染别的电脑。
2:我有俩硬盘,还原后,第2个硬盘要通过IDE设置才可以使用,如果现在杀掉了,安装第2个硬盘后会不会又出现病毒。
中毒者一号 - 2009-1-30 21:22:00
:default2:
请帮我解决下啊,高人们,郁闷死了,大过年的这么倒霉。
夲號ヱ被ジ盜 - 2009-1-30 21:23:00
俩硬盘!!!!你不早说!!!!
把没毒的硬盘装上个杀1毒能力最强的东西
然后把有毒的硬盘当U盘挂到这个硬盘上杀
删除以下驱动
[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\1A10B8F8.dat><N/A>
中毒者一号 - 2009-1-30 21:26:00


引用:
原帖由 夲號ヱ被ジ盜 于 2009-1-30 21:23:00 发表
俩硬盘!!!!你不早说!!!!
把没毒的硬盘装上个杀1毒能力最强的东西
然后把有毒的硬盘当U盘挂到这个硬盘上杀
删除以下驱动
[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system......



哎,中毒的时候2个硬盘都是工作着的。因为中毒了,所以我才还原的系统(以前备份的时候我把IDE都关闭了,所以发现不了第2个硬盘)。现在第2个硬盘肯定和第1个硬盘一样的。
JayFaye - 2009-1-30 21:30:00


引用:
原帖由 中毒者一号 于 2009-1-30 21:18:00 发表
大侠,我哭了,所有的杀软都不能运行。360能查出来,然后还没重起就被干掉了。:default2:
我现在担心的是,1:会不会通过网上邻居感染别的电脑。
2:我有俩硬盘,还原后,第2个硬盘要通过IDE设置才可以使用,如果现在杀掉了,安装第2个硬盘后会不会又出现病毒。

汗,还好没用DOS删除,你有两个硬盘
从日志来看病毒基本没有了,就剩两个驱动文件
下载附件,解压,先运行1.bat,然后重启系统,再运行2.bat

第2块硬盘上也有病毒?

附件: 1.rar
中毒者一号 - 2009-1-30 21:32:00
1A10B8F8.dat  这个是什么驱动?
JayFaye - 2009-1-30 21:33:00
让第二块硬盘也插上,再运行一次第一次给你的那个Antivirus.exe程序
中毒者一号 - 2009-1-30 21:45:00


引用:
原帖由 JayFaye 于 2009-1-30 21:33:00 发表
让第二块硬盘也插上,再运行一次第一次给你的那个Antivirus.exe程序


高人,处理后我如果用一键还原的话病毒会不会出现?还有,刚才查了下说这病毒会干扰所有的EXE文件,那我的东西不是全完蛋拉?:default2:
JayFaye - 2009-1-30 21:46:00


引用:
原帖由 中毒者一号 于 2009-1-30 21:45:00 发表


引用:
原帖由 JayFaye 于 2009-1-30 21:33:00 发表
让第二块硬盘也插上,再运行一次第一次给你的那个Antivirus.exe程序


高人,处理后我如果用一键还原的话病毒会不会出现?还有,刚才查了下说这病毒会干扰所有的EXE文件,那我的东西不是全完蛋拉?:default2:

还原了没用,不用一件还原,你的exe文件没有被破坏
天月来了 - 2009-1-30 21:50:00
下载usp10.dll扫描清理工具。
http://bbs.ikaka.com/attachment.aspx?attachmentid=481869

扫描清理所有盘
中毒者一号 - 2009-1-30 21:59:00


引用:
原帖由 JayFaye 于 2009-1-30 21:46:00 发表


引用:
原帖由 中毒者一号 于 2009-1-30 21:45:00 发表
[quote] 原帖由 JayFaye 于 2009-1-30 21:33:00 发表
让第二块硬盘也插上,再运行一次第一次给你的那个Antivirus.exe程序


高人,处理后我如果用一键还原的话病毒会不会出现?还有,刚才查了下说这病毒会干扰所有的EXE文件


高人,你是说我的一键还原精灵备份的系统已经完蛋了吗?已经被病毒感染了?即使还原了,病毒就出来是这样吗?还是说如果我把病毒杀死,再用还原?
JayFaye - 2009-1-30 22:00:00
我的意思说病毒杀掉就不用还原了,因为没什么意义
你的数据没有被病毒破坏,仍然是完好的
天月来了 - 2009-1-30 22:05:00
什么跟什么哟

你别乱呀

这木马群就是向所有包含.exe文件的的文件家内塞入一个usp10.dll文件,以及向QQ目录内塞入psapi.dll文件而已

正确删除属于病毒的这两文件,就可以继续运行那些.exe文件了



绕呀绕的。
中毒者一号 - 2009-1-30 22:13:00
:default10:
谢谢大家指导,我大概是明白了。
本来看了介绍还以为多复杂的病毒,原来只是给EXE文件夹子里放了俩文件,导致一直重复出现哇。
谢谢拉。
主要是我现在装了好几个杀软了,然后又弄了其他的一些东西。所以打算把病毒杀掉后还原下系统,这样我的电脑可以恢复以前的状态。呵呵,还原很快的,再次感谢。
中毒者一号 - 2009-1-30 22:26:00


引用:
原帖由 JayFaye 于 2009-1-30 21:30:00 发表


引用:
原帖由 中毒者一号 于 2009-1-30 21:18:00 发表
大侠,我哭了,所有的杀软都不能运行。360能查出来,然后还没重起就被干掉了。:default2:
我现在担心的是,1:会不会通过网上邻居感染别的电脑。
2:我有俩硬盘,还原后,第2个硬盘要通过IDE设置才可以使用,如果现在杀掉了,安装第2个硬盘后会不会又出现病毒。

汗,还好



高人,按照你的方法操作好扫描的,帮忙看下还有病毒了吗?

附件: SREngLOG.log
中毒者一号 - 2009-1-30 22:29:00
如题。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; (R1 1.5))

附件: SREngLOG.log
天月来了 - 2009-1-30 22:30:00
请回想中毒的过程,以及按照去这贴上传你的瑞星杀毒软件的防御日志
http://bbs.ikaka.com/showtopic-8592708.aspx
夲號ヱ被ジ盜 - 2009-1-30 22:31:00
病毒文件全部丢失
自己看这个日志清理下注册表
JayFaye - 2009-1-30 22:32:00
病毒没了,只剩下病毒留下的注册表垃圾项目,如果你会SREng的操作就自己清理吧,不会就不管它也行
中毒者一号 - 2009-1-30 22:39:00
谢谢大家了。我去写调查报告。问一下,如果我现在还原系统的话,是不是病毒也不会出现了对吧?这样注册表垃圾也就没有了是吧?
JayFaye - 2009-1-30 22:41:00


引用:
原帖由 中毒者一号 于 2009-1-30 22:39:00 发表
谢谢大家了。我去写调查报告。问一下,如果我现在还原系统的话,是不是病毒也不会出现了对吧?这样注册表垃圾也就没有了是吧?

如果你把第二块硬盘插上的话,也用了那个Antivirus.exe,那么现在还原应该没事了,垃圾自然也没有
如果还原后又出来了说明第二块硬盘上的病毒没被清理完,到时候继续求助即可,现在知道怎么清除了也不是件难事
中毒者一号 - 2009-1-30 22:44:00


引用:
原帖由 JayFaye 于 2009-1-30 22:41:00 发表


引用:
原帖由 中毒者一号 于 2009-1-30 22:39:00 发表
谢谢大家了。我去写调查报告。问一下,如果我现在还原系统的话,是不是病毒也不会出现了对吧?这样注册表垃圾也就没有了是吧?

如果你把第二块硬盘插上的话,也用了那个Antivirus.exe,那么现在还原应该没事了,垃圾自然也没有
如果还原后又出来了说明第二块硬盘上的病毒没被清理完,


谢谢。我是按照你的方法操作的,激活第2个硬盘后运行了Antivirus.exe,然后发的报告。
12
查看完整版本: 高人,救救我吧,我被此病毒打败了!在线等。。。救命啊
© 2000 - 2025 Rising Corp. Ltd.