瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中木马群了这个文件被改了怎么修复高人指点
5308111 - 2009-2-1 12:49:00
文件: C:\WINDOWS\system32\drivers\beep.sys
大小: 1152 字节
修改时间: 2009年2月1日 星期日, 12:03:10
MD5: 50768A571E512601CF0EF5378B6382B5
SHA1: E6A5ED7F6421A3C27A9674ECB6E59A411E9C8615
CRC32: FE9CE785
/beep.sys2个这个文件都是今天修改的貌似被病毒搞的吧怎么样修复高人指点谢谢:default8:


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )
吴佳元 - 2009-2-1 12:57:00
使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://www.kztechs.com/sreng/download.html
aaccbbdd - 2009-2-1 12:59:00
http://bbs.ikaka.com/showtopic-8417665.aspx
有正常文件
自己替换去
5308111 - 2009-2-1 13:27:00
晕我的是XP 用哪个啊里面有XP  SP2 /XP SP3 /2000 SP4的:default8: 我菜鸟谢谢告诉下
aaccbbdd - 2009-2-1 13:28:00
你不是没打Sp补丁包吧:default2:
5308111 - 2009-2-1 13:33:00

附件: SREngLOG.log (2009-2-1 13:33:04, 28.70 K)
该附件被下载次数 255



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )
5308111 - 2009-2-1 13:37:00
不懂啊我中 木马群后用这个论坛的方法杀完还没来的级下补丁修补漏洞呢估计40多个漏洞吧的怎么下SP补丁呢我的系统我就知道是原来大家都叫的XP好象是XP2000吧
夲號ヱ被ジ盜 - 2009-2-1 13:41:00
自己看着日志清理下Files Is Missing的注册表
aaccbbdd - 2009-2-1 13:41:00
:default3: :default3:
XP2000。。。。。。。。。。。。。


Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
5308111 - 2009-2-1 13:47:00
什么意思啊哪有问题请指点详细些我纯菜鸟那伙的谢谢:default8:
aaccbbdd - 2009-2-1 13:49:00
sreng-
启动项目 -- 注册表之如下项删除:

<{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{67802580-B437-495D-A5FF-02C81CFB8A33}><C:\WINDOWS\system32\mnogilog.dll>  [File is missing]
    <{0A7BA48E-B708-4786-B83D-250E63C41F5F}><C:\WINDOWS\system32\ganbakoe.dll>  [File is missing]
    <{4EC3076A-77E6-45A9-9BE6-3A6A69C46A9D}><C:\WINDOWS\system32\kecjgnma.dll>  [File is missing]
    <{087F56EF-A3F6-41BF-BFBA-AED3E6A3FF59}><C:\WINDOWS\system32\gonflmef.dll>  [File is missing]
    <{FF96558A-2F95-4825-A583-C2001B4BE599}><C:\WINDOWS\system32\ffpmlloa.dll>  [File is missing]
    <{0529B739-AEA0-4977-9640-E6E436556EEB}><C:\WINDOWS\system32\glipbnjp.dll>  [File is missing]
    <{15AEEF5A-A0EA-433C-AE12-B14C2CC7C07D}><C:\WINDOWS\system32\hlaeefla.dll>  [File is missing]
    <{0308EEFF-7C42-4430-B849-5A7288C0C35E}><C:\WINDOWS\system32\gjgoeeff.dll>  [File is missing]
    <{650A1746-B80E-44ED-A52B-C5968EA13556}><C:\WINDOWS\system32\mlgahnkm.dll>  [File is missing]
    <{63FFFE5D-C94B-4889-AF98-AC674AFE068C}><C:\WINDOWS\system32\mjfffeld.dll>  [File is missing]
    <{FF2A38F9-ED8C-489F-ABB3-6AF35771AAD8}><C:\WINDOWS\system32\ffiajofp.dll>  [File is missing]
    <{C2A47775-57A7-4119-B4C1-02F17633E3B1}><C:\WINDOWS\system32\ciaknnnl.dll>  [File is missing]
    <{CD671BC4-93A9-4AC9-9DB8-9DE0D028F0E1}><C:\WINDOWS\system32\cdmnhbck.dll>  [File is missing]
    <{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><C:\Program Files\Internet Explorer\PowerNeNt.Onz>  [File is missing]
    <{3CBF250C-2658-4331-8566-063406A9A979}><C:\WINDOWS\system32\jcbfilgc.dll>  [File is missing]
    <{115D31A9-16D9-4C32-8A34-76266D87F8EF}><C:\WINDOWS\system32\hhldjhap.dll>  [File is missing]
    <{1C83D3E8-2614-4A2A-8268-E5F6ED91107F}><C:\WINDOWS\system32\hcojdjeo.dll>  [File is missing]
    <{8442DC95-5177-4F28-8E68-04087525C49E}><C:\WINDOWS\system32\okkidcpl.dll>  [File is missing]
    <{E61F979D-FB57-4F94-974A-478FD3E28E2A}><C:\WINDOWS\system32\emhfpnpd.dll>  [File is missing]
    <{E0D0BBB9-EB2D-4E67-A1F7-D15D5F1E1EDE}><C:\WINDOWS\system32\egdgbbbp.dll>  [File is missing]
    <{3A27BE53-1647-42F2-AA58-273ED0C0D942}><C:\WINDOWS\system32\jainbelj.dll>  [File is missing]
    <{6B68372A-432E-4EE3-9357-2FF91B99AB64}><C:\WINDOWS\system32\mbmojnia.dll>  [File is missing]
    <{FEA7E10C-9F92-489F-8903-91AA9A5CC593}><C:\WINDOWS\system32\feanehgc.dll>  [File is missing]
    <{3D025A74-E30E-4BE9-B1C9-26903123CBCA}><C:\WINDOWS\system32\jdgilank.dll>  [File is missing]
  <67802580><C:\WINDOWS\system32\mnogilog.dll>  [File is missing]
    <0A7BA48E><C:\WINDOWS\system32\ganbakoe.dll>  [File is missing]
    <4EC3076A><C:\WINDOWS\system32\kecjgnma.dll>  [File is missing]
    <087F56EF><C:\WINDOWS\system32\gonflmef.dll>  [File is missing]
    <FF96558A><C:\WINDOWS\system32\ffpmlloa.dll>  [File is missing]
    <0529B739><C:\WINDOWS\system32\glipbnjp.dll>  [File is missing]
    <15AEEF5A><C:\WINDOWS\system32\hlaeefla.dll>  [File is missing]
    <0308EEFF><C:\WINDOWS\system32\gjgoeeff.dll>  [File is missing]
    <650A1746><C:\WINDOWS\system32\mlgahnkm.dll>  [File is missing]
    <63FFFE5D><C:\WINDOWS\system32\mjfffeld.dll>  [File is missing]
    <FF2A38F9><C:\WINDOWS\system32\ffiajofp.dll>  [File is missing]
    <C2A47775><C:\WINDOWS\system32\ciaknnnl.dll>  [File is missing]
    <CD671BC4><C:\WINDOWS\system32\cdmnhbck.dll>  [File is missing]
    <3CBF250C><C:\WINDOWS\system32\jcbfilgc.dll>  [File is missing]
    <115D31A9><C:\WINDOWS\system32\hhldjhap.dll>  [File is missing]
    <1C83D3E8><C:\WINDOWS\system32\hcojdjeo.dll>  [File is missing]
    <8442DC95><C:\WINDOWS\system32\okkidcpl.dll>  [File is missing]
    <E61F979D><C:\WINDOWS\system32\emhfpnpd.dll>  [File is missing]
    <E0D0BBB9><C:\WINDOWS\system32\egdgbbbp.dll>  [File is missing]
    <3A27BE53><C:\WINDOWS\system32\jainbelj.dll>  [File is missing]
    <6B68372A><C:\WINDOWS\system32\mbmojnia.dll>  [File is missing]
    <FEA7E10C><C:\WINDOWS\system32\feanehgc.dll>  [File is missing]
    <3D025A74><C:\WINDOWS\system32\jdgilank.dll>  [File is missing]

    启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)


[stjtlgkerzqh / stjtlgkerzqh][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\eybzgvsspgmh><N/A>
[xbmgapcnmvxr / xbmgapcnmvxr][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ratyjxsbaplf><N/A>


清理助手下载
安装后,升级清理助手,全盘扫描,清理系统
backway - 2009-2-1 13:50:00
建议使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\mnogilog.dll
c:\windows\system32\ganbakoe.dll
c:\windows\system32\kecjgnma.dll
c:\windows\system32\gonflmef.dll
c:\windows\system32\ffpmlloa.dll
c:\windows\system32\glipbnjp.dll
c:\windows\system32\hlaeefla.dll
c:\windows\system32\gjgoeeff.dll
c:\windows\system32\mlgahnkm.dll
c:\windows\system32\mjfffeld.dll
c:\windows\system32\ffiajofp.dll
c:\windows\system32\ciaknnnl.dll
c:\windows\system32\cdmnhbck.dll
c:\program files\internet explorer\powernent.onz
c:\windows\system32\jcbfilgc.dll
c:\windows\system32\hhldjhap.dll
c:\windows\system32\hcojdjeo.dll
c:\windows\system32\okkidcpl.dll
c:\windows\system32\emhfpnpd.dll
c:\windows\system32\egdgbbbp.dll
c:\windows\system32\jainbelj.dll
c:\windows\system32\mbmojnia.dll
c:\windows\system32\feanehgc.dll
c:\windows\system32\jdgilank.dll
c:\docume~1\admini~1\locals~1\temp\ratyjxsbaplf
c:\docume~1\admini~1\locals~1\temp\eybzgvsspgmh

删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{67802580-B437-495D-A5FF-02C81CFB8A33}]    <C:\WINDOWS\system32\mnogilog.dll>
[{0A7BA48E-B708-4786-B83D-250E63C41F5F}]    <C:\WINDOWS\system32\ganbakoe.dll>
[{4EC3076A-77E6-45A9-9BE6-3A6A69C46A9D}]    <C:\WINDOWS\system32\kecjgnma.dll>
[{087F56EF-A3F6-41BF-BFBA-AED3E6A3FF59}]    <C:\WINDOWS\system32\gonflmef.dll>
[{FF96558A-2F95-4825-A583-C2001B4BE599}]    <C:\WINDOWS\system32\ffpmlloa.dll>
[{0529B739-AEA0-4977-9640-E6E436556EEB}]    <C:\WINDOWS\system32\glipbnjp.dll>
[{15AEEF5A-A0EA-433C-AE12-B14C2CC7C07D}]    <C:\WINDOWS\system32\hlaeefla.dll>
[{0308EEFF-7C42-4430-B849-5A7288C0C35E}]    <C:\WINDOWS\system32\gjgoeeff.dll>
[{650A1746-B80E-44ED-A52B-C5968EA13556}]    <C:\WINDOWS\system32\mlgahnkm.dll>
[{63FFFE5D-C94B-4889-AF98-AC674AFE068C}]    <C:\WINDOWS\system32\mjfffeld.dll>
[{FF2A38F9-ED8C-489F-ABB3-6AF35771AAD8}]    <C:\WINDOWS\system32\ffiajofp.dll>
[{C2A47775-57A7-4119-B4C1-02F17633E3B1}]    <C:\WINDOWS\system32\ciaknnnl.dll>
[{CD671BC4-93A9-4AC9-9DB8-9DE0D028F0E1}]    <C:\WINDOWS\system32\cdmnhbck.dll>
[{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}]    <C:\Program Files\Internet Explorer\PowerNeNt.Onz>
[{3CBF250C-2658-4331-8566-063406A9A979}]    <C:\WINDOWS\system32\jcbfilgc.dll>
[{115D31A9-16D9-4C32-8A34-76266D87F8EF}]    <C:\WINDOWS\system32\hhldjhap.dll>
[{1C83D3E8-2614-4A2A-8268-E5F6ED91107F}]    <C:\WINDOWS\system32\hcojdjeo.dll>
[{8442DC95-5177-4F28-8E68-04087525C49E}]    <C:\WINDOWS\system32\okkidcpl.dll>
[{E61F979D-FB57-4F94-974A-478FD3E28E2A}]    <C:\WINDOWS\system32\emhfpnpd.dll>
[{E0D0BBB9-EB2D-4E67-A1F7-D15D5F1E1EDE}]    <C:\WINDOWS\system32\egdgbbbp.dll>
[{3A27BE53-1647-42F2-AA58-273ED0C0D942}]    <C:\WINDOWS\system32\jainbelj.dll>
[{6B68372A-432E-4EE3-9357-2FF91B99AB64}]    <C:\WINDOWS\system32\mbmojnia.dll>
[{FEA7E10C-9F92-489F-8903-91AA9A5CC593}]    <C:\WINDOWS\system32\feanehgc.dll>
[{3D025A74-E30E-4BE9-B1C9-26903123CBCA}]    <C:\WINDOWS\system32\jdgilank.dll>
[67802580]    <C:\WINDOWS\system32\mnogilog.dll>
[0A7BA48E]    <C:\WINDOWS\system32\ganbakoe.dll>
[4EC3076A]    <C:\WINDOWS\system32\kecjgnma.dll>
[087F56EF]    <C:\WINDOWS\system32\gonflmef.dll>
[FF96558A]    <C:\WINDOWS\system32\ffpmlloa.dll>
[0529B739]    <C:\WINDOWS\system32\glipbnjp.dll>
[15AEEF5A]    <C:\WINDOWS\system32\hlaeefla.dll>
[0308EEFF]    <C:\WINDOWS\system32\gjgoeeff.dll>
[650A1746]    <C:\WINDOWS\system32\mlgahnkm.dll>
[63FFFE5D]    <C:\WINDOWS\system32\mjfffeld.dll>
[FF2A38F9]    <C:\WINDOWS\system32\ffiajofp.dll>
[C2A47775]    <C:\WINDOWS\system32\ciaknnnl.dll>
[CD671BC4]    <C:\WINDOWS\system32\cdmnhbck.dll>
[3CBF250C]    <C:\WINDOWS\system32\jcbfilgc.dll>
[115D31A9]    <C:\WINDOWS\system32\hhldjhap.dll>
[1C83D3E8]    <C:\WINDOWS\system32\hcojdjeo.dll>
[8442DC95]    <C:\WINDOWS\system32\okkidcpl.dll>
[E61F979D]    <C:\WINDOWS\system32\emhfpnpd.dll>
[E0D0BBB9]    <C:\WINDOWS\system32\egdgbbbp.dll>
[3A27BE53]    <C:\WINDOWS\system32\jainbelj.dll>
[6B68372A]    <C:\WINDOWS\system32\mbmojnia.dll>
[FEA7E10C]    <C:\WINDOWS\system32\feanehgc.dll>
[3D025A74]    <C:\WINDOWS\system32\jdgilank.dll>


启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[xbmgapcnmvxr / xbmgapcnmvxr]   
[stjtlgkerzqh / stjtlgkerzqh



系统修复——浏览器加载项之如下项删除

[]    <C:\Program Files\Internet Explorer\PowerNeNt.Onz>
[]    <C:\Program Files\Internet Explorer\PowerNeNt.Onz>


用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
backway - 2009-2-1 13:56:00
删除启动项目时可以按Shift键同时选首末项一起删除。
5308111 - 2009-2-1 14:05:00
我把SREng扫描出来的注册表项全都删除行不?里面还有几个你没有提到的
5308111 - 2009-2-1 14:07:00
有蓝色字体和黑色字体的什么意思呢
aaccbbdd - 2009-2-1 14:10:00
全部删除则系统瘫痪
5308111 - 2009-2-1 14:10:00
什么意思?是用SRENG直接修复系统吗?
5308111 - 2009-2-1 14:11:00
有蓝色字体和黑色字体的什么意思呢
backway - 2009-2-1 14:18:00
不管那个。
删除我们说的那些项。
其他别删
aaccbbdd - 2009-2-1 14:19:00
问草莽书生吧:default3:
aaccbbdd - 2009-2-1 14:19:00
貌似说错了
是青蛙:default3:
aaccbbdd - 2009-2-1 14:20:00
扫日志
backway - 2009-2-1 14:23:00


引用:
原帖由 5308111 于 2009-2-1 14:07:00 发表
有蓝色字体和黑色字体的什么意思呢



高危项目:红色
未知安全等级项目:蓝色
安全项目:绿色
silences - 2009-2-1 14:24:00
打开SRENG 点智能扫描 里面有一个扫描的按扭 扫描前  先把QQ等程序关闭
天月来了 - 2009-2-1 14:25:00
扫日志来就看到你是什么系统了
backway - 2009-2-1 14:27:00
右键我的电脑,属性里不就知道了。
5308111 - 2009-2-1 14:28:00
哦谢谢我日志已经另开帖子了请您们帮看看就是那个5380111用户发的报告帖子
aaccbbdd - 2009-2-1 14:28:00
高危项目:红色
未知安全等级项目:蓝色
安全项目:绿色

绿色:default2:
有这个颜色?
不行
得找人问问青蛙:default2: :default11:
天月来了 - 2009-2-1 14:29:00
你们就告诉他都是系统重要项目得了
backway - 2009-2-1 14:31:00
有的蓝色一点就变绿了
ctfmon一般都是绿的
KZTechs.com里有介绍的
123
查看完整版本: 中木马群了这个文件被改了怎么修复高人指点
© 2000 - 2025 Rising Corp. Ltd.