我服了，木马病毒太强悍，重装4次全盘杀毒五次仍出现。。。。（感谢aaccbbdd、超级游戏迷、天月来了、sean0z） bbs.ikaka.com

星辰情缘 - 2009-1-30 21:01:00

aaccbbdd、超级游戏迷、天月来了、sean0z
感谢你们为我解决问题所耗费的时间精力
我没有办法做些什么，只能真诚的在这里表示谢谢你们
十分感谢！
用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: rslog.txt

附件: SREngLOG.log

中毒者一号 - 2009-1-30 21:04:00

:default2:
兄弟啊，我跟你一样。我都郁闷死了，重装系统根本没用，即使别的盘不开也一样会出现数字进程

aaccbbdd - 2009-1-30 21:06:00

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

超级游戏迷 - 2009-1-30 21:09:00

日志中的异常内容：
============================================
+ 内核驱动
+ HKLM\System\CurrentControlSet\Services
KKCC
[A ] 17. c:\docume~1\admini~1\locals~1\temp\1696
msiffei
[A ] 18. c:\windows\system32\drivers\msiffei.sys
SafeMon0
[A ] 23. c:\windows\system32\f32e7136.dat

+ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{023DEAFC-CEB4-41F9-AE4A-29A4661E8B42}
[A ] 40. c:\windows\system32\gijdeafc.dll
{B0451506-911B-4B31-8DF5-8F00F87C6CAA}
[A ] 41. c:\windows\system32\bgklhlgm.dll
{F6E7509F-D932-47A2-B163-C6EA64C8C99E}
[A ] 42. c:\windows\system32\fmenlgpf.dll
{5CFA9F11-57F3-4166-AA20-CAA3ACCB7E47}
[A ] 43. c:\windows\system32\lcfapfhh.dll
{63850067-0D21-4DC1-AFDB-A915EC99E1AC}
[A ] 44. c:\windows\system32\mjolggmn.dll
{C84A82E3-728A-4E17-B6D5-21E086698675}
[A ] 45. c:\windows\system32\cokaoiej.dll
{7372D4A7-2F7C-4670-BB03-411A199DA049}
[A ] 46. c:\windows\system32\njnidkan.dll
{CE02D995-6C8F-4626-8EAD-AC1B51150E9E}
[A ] 47. c:\windows\system32\cegidppl.dll
{087A5940-DEF5-4EEE-9382-D43EAFC7A56C}
[A ] 48. c:\windows\system32\gonalpkg.dll
{508A6B1C-6FC1-423C-9541-FFDA4F1B1CEC}
[A ] 49. c:\windows\system32\lgoambhc.dll
{DF7576E9-8841-4895-9BE4-6667047EED5C}
[A ] 50. c:\windows\system32\dfnlnmep.dll

+ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
023DEAFC
[A ] 40. c:\windows\system32\gijdeafc.dll
B0451506
[A ] 41. c:\windows\system32\bgklhlgm.dll
F6E7509F
[A ] 42. c:\windows\system32\fmenlgpf.dll
5CFA9F11
[A ] 43. c:\windows\system32\lcfapfhh.dll
63850067
[A ] 44. c:\windows\system32\mjolggmn.dll
C84A82E3
[A ] 45. c:\windows\system32\cokaoiej.dll
7372D4A7
[A ] 46. c:\windows\system32\njnidkan.dll
CE02D995
[A ] 47. c:\windows\system32\cegidppl.dll
087A5940
[A ] 48. c:\windows\system32\gonalpkg.dll
508A6B1C
[A ] 49. c:\windows\system32\lgoambhc.dll
DF7576E9
[A ] 50. c:\windows\system32\dfnlnmep.dll

+ HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Alcmtr
[A ] 57. c:\windows\system32\anymie360.exe

+ 程序初始化和已知动态连接库
+ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs
[A ] 62. c:\windows\fonts\comres.dll

+ 正在运行的进程
+ 0000036c(876) svchost.exe
10000000[0001C000]
[ M] 68. c:\windows\system32\anymie360.dll

===========================================
非常生猛的木马群，建议看看置顶帖先，然后上传SRENG扫描日志……

星辰情缘 - 2009-1-30 21:11:00

引用:

原帖由 aaccbbdd 于 2009-1-30 21:06:00 发表
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的

拜托了

附件: SREngLOG.log

超级游戏迷 - 2009-1-30 21:18:00

http://bbs.ikaka.com/showtopic-8592261.aspx

上面这个帖子先认真看下，稍后给出SRENG日志中的异常部分，自己手工解决吧……:default2:

星辰情缘 - 2009-1-30 21:32:00

好的，那个AUTORUS程序我没有，所以我只能用那个usp10.dll病毒清除工具及其用法来试。
谢谢你了！我在线等

超级游戏迷 - 2009-1-30 21:44:00

注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Infected) Microsoft Corporation]
由此看出系统输入法进程被病毒感染，但不需对以上注册表值项做任何操作。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<Alcmtr><anymie360.exe> []
病毒添加的注册表启动项，删除。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\WINDOWS\fonts\ComRes.dll> []
病毒添加的初始化动态链接库启动项，拔网线，关闭杀软监控后将此注册表值项值清空，不要删除值项本身。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{21163FF2-8EB3-421D-9964-C0F5F30DB08C}><C:\WINDOWS\system32\ihhmjffi.dll> [File is missing]
<{7AA9FFE0-0C4B-4506-87B5-9DF7EC41E3BF}><C:\WINDOWS\system32\naapffeg.dll> [File is missing]
<{83F7E10C-4025-4983-BAEA-12D85E6B9134}><C:\WINDOWS\system32\ojfnehgc.dll> [File is missing]
<{3B31E2C9-4EFA-4A0D-8ABF-FC3E1EE6BE4E}><C:\WINDOWS\system32\jbjheicp.dll> [File is missing]
<{023DEAFC-CEB4-41F9-AE4A-29A4661E8B42}><C:\WINDOWS\system32\gijdeafc.dll> []
<{B0451506-911B-4B31-8DF5-8F00F87C6CAA}><C:\WINDOWS\system32\bgklhlgm.dll> []
<{F6E7509F-D932-47A2-B163-C6EA64C8C99E}><C:\WINDOWS\system32\fmenlgpf.dll> []
<{5CFA9F11-57F3-4166-AA20-CAA3ACCB7E47}><C:\WINDOWS\system32\lcfapfhh.dll> []
<{63850067-0D21-4DC1-AFDB-A915EC99E1AC}><C:\WINDOWS\system32\mjolggmn.dll> []
<{6C23D952-5363-4711-A71D-FE2396F8808C}><C:\WINDOWS\system32\mcijdpli.dll> [File is missing]
<{C84A82E3-728A-4E17-B6D5-21E086698675}><C:\WINDOWS\system32\cokaoiej.dll> []
<{7372D4A7-2F7C-4670-BB03-411A199DA049}><C:\WINDOWS\system32\njnidkan.dll> []
<{BAA8D4A2-0336-490A-ABD5-E23AA4078C3A}><C:\WINDOWS\system32\baaodkai.dll> [File is missing]
<{CE02D995-6C8F-4626-8EAD-AC1B51150E9E}><C:\WINDOWS\system32\cegidppl.dll> []
<{087A5940-DEF5-4EEE-9382-D43EAFC7A56C}><C:\WINDOWS\system32\gonalpkg.dll> []
<{508A6B1C-6FC1-423C-9541-FFDA4F1B1CEC}><C:\WINDOWS\system32\lgoambhc.dll> []
<{DF7576E9-8841-4895-9BE4-6667047EED5C}><C:\WINDOWS\system32\dfnlnmep.dll> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<21163FF2><C:\WINDOWS\system32\ihhmjffi.dll> [File is missing]
<7AA9FFE0><C:\WINDOWS\system32\naapffeg.dll> [File is missing]
<83F7E10C><C:\WINDOWS\system32\ojfnehgc.dll> [File is missing]
<3B31E2C9><C:\WINDOWS\system32\jbjheicp.dll> [File is missing]
<023DEAFC><C:\WINDOWS\system32\gijdeafc.dll> []
<B0451506><C:\WINDOWS\system32\bgklhlgm.dll> []
<F6E7509F><C:\WINDOWS\system32\fmenlgpf.dll> []
<5CFA9F11><C:\WINDOWS\system32\lcfapfhh.dll> []
<63850067><C:\WINDOWS\system32\mjolggmn.dll> []
<6C23D952><C:\WINDOWS\system32\mcijdpli.dll> [File is missing]
<C84A82E3><C:\WINDOWS\system32\cokaoiej.dll> []
<7372D4A7><C:\WINDOWS\system32\njnidkan.dll> []
<BAA8D4A2><C:\WINDOWS\system32\baaodkai.dll> [File is missing]
<CE02D995><C:\WINDOWS\system32\cegidppl.dll> []
<087A5940><C:\WINDOWS\system32\gonalpkg.dll> []
<508A6B1C><C:\WINDOWS\system32\lgoambhc.dll> []
<DF7576E9><C:\WINDOWS\system32\dfnlnmep.dll> [File is missing]
以上注册表值项均为病毒添加，删除。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
直接删除上面这三个注册表子项，它们是病毒释放的IFEO项，用于劫持杀软、防火墙和迅雷的进程。
==================================
驱动程序
[Safe Mon 360 / SafeMon0][Running/System Start]
<\??\C:\WINDOWS\system32\F32E7136.dat><N/A>
[msiffei / msiffei][Stopped/Manual Start]
<System32\Drivers\msiffei.sys><N/A>
两个病毒驱动，可用SRENG扫描工具删除。
==================================
正在运行的进程
[PID: 1212 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
被感染的系统输入法文件，用正常的替换掉。

[PID: 876 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\anymie360.dll] [N/A, ]
[PID: 1984 / Administrator][C:\WINDOWS\Explorer.EXE] [(Verified) Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_qfe.070613-1311)]
[C:\WINDOWS\system32\anymie360.dll] [N/A, ]
[PID: 3240 / Administrator][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\fonts\ComRes.dll] [N/A, ]
[C:\WINDOWS\fonts\ctm01025.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm04004.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm09003.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm11008.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm12004.ttf] [N/A, ]
[PID: 3712 / Administrator][C:\Program Files\Rising\Rav\RsAgent.exe] [Beijing Rising Information Technology Co., Ltd., 21.0.0.17]
[C:\WINDOWS\fonts\ComRes.dll] [N/A, ]
[C:\WINDOWS\fonts\ctm01025.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm04004.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm09003.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm11008.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm12004.ttf] [N/A, ]
[PID: 3416 / Administrator][C:\Program Files\WinRAR\WinRAR.exe] [N/A, ]
[C:\WINDOWS\fonts\ComRes.dll] [N/A, ]
[C:\WINDOWS\fonts\ctm01025.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm04004.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm09003.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm11008.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm12004.ttf] [N/A, ]
[PID: 3288 / Administrator][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.438\SREngLdr.EXE] [Smallfrogs Studio, 2.7.0.1210]
[C:\WINDOWS\fonts\ComRes.dll] [N/A, ]
[C:\WINDOWS\fonts\ctm01025.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm04004.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm09003.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm11008.ttf] [N/A, ]
[C:\WINDOWS\fonts\ctm12004.ttf] [N/A, ]
以上红色项目为插入到正常进程的病毒模块，用XDELBOX的“立即重启执行删除”收拾。

没有出现在“正在运行的进程”内容中的病毒文件如下，也用XDELBOX连同上面的一起搞定：
C:\WINDOWS\system32\anymie360.exe
C:\WINDOWS\system32\F32E7136.dat
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\ihhmjffi.dll
C:\WINDOWS\system32\naapffeg.dll
C:\WINDOWS\system32\ojfnehgc.dll
C:\WINDOWS\system32\jbjheicp.dll
C:\WINDOWS\system32\gijdeafc.dll
C:\WINDOWS\system32\bgklhlgm.dll
C:\WINDOWS\system32\fmenlgpf.dll
C:\WINDOWS\system32\lcfapfhh.dll
C:\WINDOWS\system32\mjolggmn.dll
C:\WINDOWS\system32\mcijdpli.dll
C:\WINDOWS\system32\cokaoiej.dll
C:\WINDOWS\system32\njnidkan.dll
C:\WINDOWS\system32\baaodkai.dll
C:\WINDOWS\system32\cegidppl.dll
C:\WINDOWS\system32\gonalpkg.dll
C:\WINDOWS\system32\lgoambhc.dll
C:\WINDOWS\system32\dfnlnmep.dll
C:\WINDOWS\system32\anymie360.dll
C:\WINDOWS\fonts\ComRes.dll
C:\WINDOWS\fonts\ctm01025.ttf
C:\WINDOWS\fonts\ctm04004.ttf
C:\WINDOWS\fonts\ctm09003.ttf
C:\WINDOWS\fonts\ctm11008.ttf
C:\WINDOWS\fonts\ctm12004.ttf
==================================
【注意】：请注意认真看我前一个帖子中链接帖的内容，搞懂以后，再操作。

超级游戏迷 - 2009-1-30 21:50:00

+ 内核驱动
+ HKLM\System\CurrentControlSet\Services
KKCC
[A ] 17. c:\docume~1\admini~1\locals~1\temp\1696

晕，上面这个驱动程序SRENG扫描工具没显示哦……:default2:

JayFaye - 2009-1-30 21:53:00

ls的扫个sreng的log

天月来了 - 2009-1-30 22:00:00

这里下载手工清理木马群工具包，并解压至C盘文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

用工具包内的wsyscheck工具搜索查找下面文件。复制并压缩在一起发来。
包括其他盘各软件程序同目录内的usp10.dll文件，以及QQ目录内的psapi.dll文件都得找到压缩后发来。

C:\WINDOWS\fonts\ComRes.dll
C:\WINDOWS\fonts\ctm01025.ttf
C:\WINDOWS\fonts\ctm04004.ttf
C:\WINDOWS\fonts\ctm09003.ttf
C:\WINDOWS\fonts\ctm11008.ttf
C:\WINDOWS\fonts\ctm12004.ttf

星辰情缘 - 2009-1-31 22:38:00

我最新的报告，你看看，昨天删除完了都不能上网了，又重新安装了此系统

附件: SREngLOG.log

aaccbbdd - 2009-1-31 22:41:00

那搜索非系统盘的usp10.dll
搜索QQ目录里的psapi.dll
全部删除

星辰情缘 - 2009-1-31 22:46:00

没有啊。

sean0z - 2009-2-1 0:06:00

搜索全部文件和受保护或隐藏的系统文件！你用winrar打开一个非系统盘含有.exe文件的文件夹，看看有没有USP10.DLL.有了就说明没清干净。楼主记得改IFEO镜像劫持，不然瑞星还是会被黑。还有注意了，把那个USP10.DLL杀干净了再装瑞星，否则装了也得卸。

lhw9558 - 2009-2-1 0:10:00

该用户帖子内容已被屏蔽

星辰情缘 - 2009-2-1 15:22:00

帮帮忙

aaccbbdd - 2009-2-1 15:23:00

试试大蜘蛛
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

天月来了 - 2009-2-1 15:25:00

你最后的日志看了，没看出病毒

你还有异常么？

星辰情缘 - 2009-2-1 15:33:00

有的，我就是怕一开程序又出来病毒了，之前一次也是瑞星都杀干净了，结果一开一个游戏病毒又出来了。而且刚才用日志扫描装置扫描的时候它也说注册表不正常

aaccbbdd - 2009-2-1 15:33:00

.....
先试试大蜘蛛
看看情况

星辰情缘 - 2009-2-1 18:27:00

服了，用大蜘蛛杀出了好多病毒。。。现在好像一用SRE检查好像还是不正常，最新日志，帮我看看吧，我真服了，我现在就是怕一点驱动程序就激发什么东西然后就来病毒了。。。

星辰情缘 - 2009-2-1 18:28:00

怎么发日志来的，我都忘了，擦

星辰情缘 - 2009-2-1 18:31:00

我发到一楼了，重新编辑的日志

天月来了 - 2009-2-1 18:33:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

星辰情缘 - 2009-2-1 18:35:00

我都发了把。服了，在1楼

天月来了 - 2009-2-1 18:39:00

C:\WINDOWS\ObjectDock\ODImg.dll
C:\WINDOWS\ObjectDock\DockShellHook.dll

这两文件是什么？？我不认识，得你自己看了

日志没看出什么东西

天月来了 - 2009-2-1 18:41:00

噢

知道了

是Stardock公司的什么东西

星辰情缘 - 2009-2-1 18:41:00

我的系统安装盘是小路工作室的精品压缩盘。。。

我说了我怕一开驱动程序就激活什么木马，还有，为什么那个扫描工具说不正常呢？

星辰情缘 - 2009-2-1 18:43:00

那我可开驱动程序了啊？要是有事我还来找你呀？

瑞星卡卡安全论坛