瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 看下日志`中毒拉`
youarepig - 2009-2-1 18:49:00
装了360也打开不了``不知道是中了什么病毒```请高手帮帮忙``
感激```:default46: :default46:

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log
夲號ヱ被ジ盜 - 2009-2-1 19:10:00
有猫癣下载器,QQPASS,GAMEOL
日志见以下异常:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <bgswitch><C:\WINDOWS\system32\bgswitch.exe>  []   壁纸自动换软件的注册表启动项,非病毒添加
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><C:\windows\rundl132.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Startwd><rundll32.exe C:\windows\system32\wd0105.dll,Hook>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Alcmtr><anymie360.exe>  []
    <qq><C:\windows\TEMP\428796.txt>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><fhofeodb.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]  这个可是正儿八经的正常注册表项啊
    <{3891567A-57D1-40E2-B080-F9C5E7ED4D86}><C:\windows\system32\jophlmna.dll>  []
    <{5A041F13-A111-12A4-B0CF-F99818AA68A5}><C:\windows\system32\ar12A401dll.dll>  []
    <{1566BA11-A899-408F-BFD3-0DFCAC9ADBCC}><C:\windows\system32\hlmmbahh.dll>  []
    <{97428C00-9F29-40F7-808A-B51CA06C0CBA}><C:\windows\system32\pnkiocgg.dll>  []
    <{A654F3CB-E34C-480B-835A-40804127320F}><C:\windows\system32\amlkfjcb.dll>  []
    <{26B77012-D930-431D-A2C6-C087B7647C88}><C:\windows\system32\imbnnghi.dll>  []
    <{16E23300-43C6-41CA-87DE-F271C3C082F1}><C:\windows\system32\hmeijjgg.dll>  []
    <{773A1048-341B-469C-9771-272B8EB32F7F}><C:\windows\system32\nnjahgko.dll>  []
    <{D09AC869-F932-46FA-89B1-7097D3983FE3}><C:\windows\system32\dgpacomp.dll>  []
    <{6538CD8F-076A-4196-BD52-CCBE203DA748}><C:\windows\system32\mljocdof.dll>  []
    <{D7CAEE38-D46E-4708-B4F5-FC570033D891}><C:\windows\system32\dncaeejo.dll>  []
    <{F18FE8DB-03DA-4BA9-9AEB-0DD2FD18FF2D}><C:\windows\system32\fhofeodb.dll>  []
    <{18BEC266-AFE9-4A43-8442-D842B1D8A2B1}><C:\windows\system32\hobecimm.dll>  []
    <{58180AAE-C86D-4FB5-8A9B-4F9F23A504C6}><C:\windows\system32\lohogaae.dll>  []
    <{E52BCE9B-21E4-4A94-8951-BEC498F831DE}><C:\windows\system32\elibcepb.dll>  []
    <{FE5DAB53-7D2A-4CC6-AE2E-F85DDB012430}><C:\windows\system32\feldablj.dll>  []
    <{D94B22C9-7CA6-4FC7-BE64-52B968F1B84F}><C:\Program Files\Internet Explorer\JoooNt8.Jzx>  []
    <{CE4C52D6-96D0-49FE-A071-24C8FC35B821}><C:\windows\system32\cekclidm.dll>  []
    <{478932A2-862F-4A34-A264-54A6EB998FDE}><C:\Program Files\Internet Explorer\PowerNt.Onz>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <3891567A><C:\windows\system32\jophlmna.dll>  []
    <1566BA11><C:\windows\system32\hlmmbahh.dll>  []
    <97428C00><C:\windows\system32\pnkiocgg.dll>  []
    <A654F3CB><C:\windows\system32\amlkfjcb.dll>  []
    <26B77012><C:\windows\system32\imbnnghi.dll>  []
    <16E23300><C:\windows\system32\hmeijjgg.dll>  []
    <773A1048><C:\windows\system32\nnjahgko.dll>  []
    <D09AC869><C:\windows\system32\dgpacomp.dll>  []
    <6538CD8F><C:\windows\system32\mljocdof.dll>  []
    <D7CAEE38><C:\windows\system32\dncaeejo.dll>  []
    <F18FE8DB><C:\windows\system32\fhofeodb.dll>  []
    <18BEC266><C:\windows\system32\hobecimm.dll>  []
    <58180AAE><C:\windows\system32\lohogaae.dll>  []
    <E52BCE9B><C:\windows\system32\elibcepb.dll>  []
    <FE5DAB53><C:\windows\system32\feldablj.dll>  []
    <CE4C52D6><C:\windows\system32\cekclidm.dll>  []
驱动程序

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\windows\system32\724A1196.dat><N/A>
运行的威胁
    [c:\windows\system32\rpcss.dll]  [N/A, ]
    [C:\windows\system32\anymie360.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
建议看置顶帖
youarepig - 2009-2-1 19:11:00
很急啊```各位同志们``麻烦你们了``````
超级游戏迷 - 2009-2-1 19:12:00
中毒很深,发现:

1、存在威金病毒的注册表启动项;

2、APPINIT_DLLS、ShellExecuteHooks注册表项下有大量木马注册表启动项,怀疑与当前的ups10.dll病毒有关;有大量IFEO劫持项,安全工具和杀软等基本都被劫持了;

3、系统文件c:\windows\system32\rpcss.dll被病毒替换(复制粘贴应该挂掉了);

4、没安装杀毒软件和防火墙(360的防毒能力太弱,根本不能取代杀软和防火墙),否则根本不可能这么惨……:default21:
超级游戏迷 - 2009-2-1 19:36:00
补充2楼:

一、
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\windows\system32\ctfmon.exe>  [(Infected) Microsoft Corporation
系统输入法进程被病毒感染。
二、
服务
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\windows\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[DCOM Server Process Launcher / DcomLaunch][Running/Auto Start]
  <C:\windows\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A>
[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
  <C:\windows\system32\svchost -k rpcss-->%SystemRoot%\system32\rpcss.dll><N/A>
[Task Scheduler / Schedule][Stopped/Disabled]
  <C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>
[System Restore Service / srservice][Running/Auto Start]
  <C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
[Windows Image Acquisition (WIA) / stisvc][Stopped/Disabled]
  <C:\windows\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>
[Windows Time / W32Time][Running/Auto Start]
  <C:\windows\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>
以上系统服务进程对应的映像文件(dll文件)和服务注册表项可能均已被病毒替换。

三、
驱动程序
[NsDlRK250 / NsDlRK250][Running/Manual Start]
  <\??\C:\windows\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Running/Manual Start]
  <\??\C:\windows\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Running/Manual Start]
  <\??\C:\windows\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02][Running/Manual Start]
  <\??\C:\windows\system32\NsPass2.sys><N/A>
[NsPsDk04 / NsPsDk04][Running/Manual Start]
  <\??\C:\windows\system32\NsPass4.sys><N/A>
[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\windows\system32\724A1196.dat><N/A>
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>
[npkwy / npkwy][Running/Boot Start]
  <\SystemRoot\system32\drivers\aumlu.sys><N/A>
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\windows\system32\drivers\acpidisk.sys><N/A>
[io / io][Running/]
  <2 - 系统找不到指定的文件。
><N/A>
一个感染性下载器病毒添加的多个驱动程序,还有还原SSDT表使杀软监控失效的NB病毒驱动,以及一些其它病毒驱动。

四、
浏览器加载项
[Info cache]
  {296AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\windows\Intel\baiduc.dll, Syons.Fae>
[]
  {478932A2-862F-4A34-A264-54A6EB998FDE} <C:\Program Files\Internet Explorer\PowerNt.Onz, N/A>
[]
  {5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\windows\system32\ar12A401dll.dll, N/A>
[]
  {D94B22C9-7CA6-4FC7-BE64-52B968F1B84F} <C:\Program Files\Internet Explorer\JoooNt8.Jzx, N/A>
[Info cache]
  {296AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\windows\Intel\baiduc.dll, Syons.Fae>
[]
  {478932A2-862F-4A34-A264-54A6EB998FDE} <C:\Program Files\Internet Explorer\PowerNt.Onz, N/A>
[]
  {5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\windows\system32\ar12A401dll.dll, N/A>
[]
  {D94B22C9-7CA6-4FC7-BE64-52B968F1B84F} <C:\Program Files\Internet Explorer\JoooNt8.Jzx, N/A>
病毒添加的BHO……

五、
正在运行的进程
[PID: 556 / SYSTEM][\??\C:\windows\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\winlib .dll]  [N/A, ]
[PID: 784 / SYSTEM][C:\windows\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\windows\system32\rpcss.dll]  [N/A, ]
    [C:\windows\system32\anymie360.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 860 / NETWORK SERVICE][C:\windows\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\windows\system32\rpcss.dll]  [N/A, ]
[PID: 904 / SYSTEM][C:\windows\System32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\windows\system32\w32time.dll]  [N/A, ]
    [c:\windows\system32\srsvc.dll]  [N/A, ]
[PID: 1744 / www][C:\windows\system32\Ati2evxx.exe]  [, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
[PID: 436 / www][C:\windows\system32\Shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 444 / www][C:\windows\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
[PID: 476 / www][C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe]  [ATI Technologies, Inc., 6.14.10.5113]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 508 / www][C:\Program Files\D-Tools\daemon.exe]  [DAEMON'S HOME, 3.47.0.0]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
[PID: 512 / www][C:\windows\system32\ctfmon.exe]  [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
[PID: 2460 / www][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\cbhclajf.dll]  [N/A, ]
    [C:\windows\system32\jophlmna.dll]  [N/A, ]
    [C:\windows\system32\bnifahhi.dll]  [N/A, ]
    [C:\windows\system32\hlmmbahh.dll]  [N/A, ]
    [C:\windows\Intel\baiduc.dll]  [Syons.Fae, 2. 3, 0, 2]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\windows\system32\cekclidm.dll]  [N/A, ]
    [C:\windows\system32\feldablj.dll]  [N/A, ]
    [C:\windows\system32\elibcepb.dll]  [N/A, ]
    [C:\windows\system32\lohogaae.dll]  [N/A, ]
    [C:\windows\system32\hobecimm.dll]  [N/A, ]
    [C:\windows\system32\fhofeodb.dll]  [N/A, ]
    [C:\windows\system32\dncaeejo.dll]  [N/A, ]
    [C:\windows\system32\mljocdof.dll]  [N/A, ]
    [C:\windows\system32\dgpacomp.dll]  [N/A, ]
    [C:\windows\system32\hmeijjgg.dll]  [N/A, ]
    [C:\windows\system32\imbnnghi.dll]  [N/A, ]
    [C:\windows\system32\amlkfjcb.dll]  [N/A, ]
    [C:\windows\system32\pnkiocgg.dll]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 672 / www][C:\windows\explorer.exe]  [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\windows\system32\ar12A401dll.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\windows\system32\jophlmna.dll]  [N/A, ]
    [C:\windows\system32\hlmmbahh.dll]  [N/A, ]
    [C:\windows\system32\pnkiocgg.dll]  [N/A, ]
    [C:\windows\system32\amlkfjcb.dll]  [N/A, ]
    [C:\windows\system32\imbnnghi.dll]  [N/A, ]
    [C:\windows\system32\hmeijjgg.dll]  [N/A, ]
    [C:\windows\system32\nnjahgko.dll]  [N/A, ]
    [C:\windows\system32\dgpacomp.dll]  [N/A, ]
    [C:\windows\system32\mljocdof.dll]  [N/A, ]
    [C:\windows\system32\dncaeejo.dll]  [N/A, ]
    [C:\windows\system32\fhofeodb.dll]  [N/A, ]
    [C:\windows\system32\hobecimm.dll]  [N/A, ]
    [C:\windows\system32\lohogaae.dll]  [N/A, ]
    [C:\windows\system32\elibcepb.dll]  [N/A, ]
    [C:\windows\system32\feldablj.dll]  [N/A, ]
    [C:\windows\system32\cekclidm.dll]  [N/A, ]
[PID: 1880 / www][D:\Process Explorer\procexp.exe]  [汉化: 余飞雨, 10.2  汉化: 余飞雨]
    [D:\Process Explorer\USP10.dll]  [Microsoft Corporation, 1.0420.2600.5512 (xpsp.080413-2105)]
    [C:\windows\system32\fhofeodb.dll]  [N/A, ]
[PID: 2572 / www][C:\Program Files\Tencent\QQ\TXPlatform.exe]  [Tencent, 1, 0, 170, 0]
    [C:\Program Files\Tencent\QQ\PSAPI.DLL]  [N/A, ]
    [C:\windows\system32\fhofeodb.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
[PID: 3204 / www][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\hlmmbahh.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\windows\Intel\baiduc.dll]  [Syons.Fae, 2. 3, 0, 2]
    [C:\windows\system32\cekclidm.dll]  [N/A, ]
    [C:\windows\system32\feldablj.dll]  [N/A, ]
    [C:\windows\system32\elibcepb.dll]  [N/A, ]
    [C:\windows\system32\lohogaae.dll]  [N/A, ]
    [C:\windows\system32\hobecimm.dll]  [N/A, ]
    [C:\windows\system32\fhofeodb.dll]  [N/A, ]
    [C:\windows\system32\dncaeejo.dll]  [N/A, ]
    [C:\windows\system32\mljocdof.dll]  [N/A, ]
    [C:\windows\system32\dgpacomp.dll]  [N/A, ]
    [C:\windows\system32\hmeijjgg.dll]  [N/A, ]
    [C:\windows\system32\imbnnghi.dll]  [N/A, ]
    [C:\windows\system32\amlkfjcb.dll]  [N/A, ]
    [C:\windows\system32\pnkiocgg.dll]  [N/A, ]
    [C:\windows\system32\jophlmna.dll]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 720 / www][F:\sreng2\SREngLdr.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [F:\sreng2\USP10.dll]  [Microsoft Corporation, 1.0420.2600.5512 (xpsp.080413-2105)]
[PID: 2476 / www][C:\DOCUME~1\www\LOCALS~1\Temp\742192]  [, 1, 0, 0, 1]
    [C:\windows\system32\hmeijjgg.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 3836 / www][F:\sreng2\SRE903a8a6a.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [F:\sreng2\USP10.dll]  [Microsoft Corporation, 1.0420.2600.5512 (xpsp.080413-2105)]
    [C:\windows\system32\hmeijjgg.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\JoooNt8.Jzx]  [N/A, ]
    [C:\Program Files\Internet Explorer\PowerNt.Onz]  [N/A, ]
    [C:\windows\system32\cekclidm.dll]  [N/A, ]
    [C:\windows\system32\feldablj.dll]  [N/A, ]
    [C:\windows\system32\elibcepb.dll]  [N/A, ]
    [C:\windows\system32\lohogaae.dll]  [N/A, ]
    [C:\windows\system32\hobecimm.dll]  [N/A, ]
    [C:\windows\system32\fhofeodb.dll]  [N/A, ]
    [C:\windows\system32\dncaeejo.dll]  [N/A, ]
    [C:\windows\system32\mljocdof.dll]  [N/A, ]
    [C:\windows\system32\dgpacomp.dll]  [N/A, ]
    [C:\windows\system32\imbnnghi.dll]  [N/A, ]
    [C:\windows\system32\amlkfjcb.dll]  [N/A, ]
    [C:\windows\system32\pnkiocgg.dll]  [N/A, ]
    [C:\windows\system32\hlmmbahh.dll]  [N/A, ]
    [C:\windows\system32\jophlmna.dll]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
一群病毒(红色)……

六、
进程特权扫描
特殊特权被允许: SeDebugPrivilege [PID = 2476, C:\DOCUME~1\WWW\LOCALS~1\TEMP\742192]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2476, C:\DOCUME~1\WWW\LOCALS~1\TEMP\742192]
以上两个病毒进程……
youarepig - 2009-2-1 19:36:00
``````怎么个说法??怎样才能清楚掉??
超级游戏迷 - 2009-2-1 19:40:00
建议用安装光盘启动电脑,将全盘格式化后重装系统(病毒可能感染了非系统分区的可执行文件,并在正常应用程序安装目录下释放DLL文件监视应用程序运行,手工清理实在太麻烦了)……:default21:
youarepig - 2009-2-1 19:52:00
````全盘??我的天`````
求助 手工杀毒```大哥````帮帮我``   
多麻烦也不怕```:default46:
超级游戏迷 - 2009-2-1 20:01:00


引用:
原帖由 youarepig 于 2009-2-1 19:52:00 发表
````全盘??我的天`````
求助 手工杀毒```大哥````帮帮我``   
多麻烦也不怕```:default46: 
对以下感染型下载器病毒所造成的危害,可能导致除系统分区外所有分区下的应用程序的可执行文件都被感染,被感染的文件是否能恢复很难说,我没有一定能修复的把握。如果被感染的文件只能强制删除,那基本所有应用软件都要重装,和全盘格掉重装系统耗费的时间差不多,而且使用后者的话,比前者弄得更干净更保险……:default21:
[NsDlRK250 / NsDlRK250][Running/Manual Start]
  <\??\C:\windows\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Running/Manual Start]
  <\??\C:\windows\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Running/Manual Start]
  <\??\C:\windows\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02][Running/Manual Start]
  <\??\C:\windows\system32\NsPass2.sys><N/A>
[NsPsDk04 / NsPsDk04][Running/Manual Start]
  <\??\C:\windows\system32\NsPass4.sys><N/A>


可以等其他高手给出完全修复的步骤,我没有把握……:default20:

吃一堑长一智,以后别再用360取代杀软和防火墙了,会死人的……:default24:
七月灬等待 - 2009-2-1 20:06:00
感染型病毒?LZ发个样本上来看下:default1:
youarepig - 2009-2-1 20:08:00


引用:
原帖由 七月灬等待 于 2009-2-1 20:06:00 发表
感染型病毒?LZ发个样本上来看下:default1: 


附件: SREngLOG.log
lwqzyx - 2009-2-1 20:09:00
该用户帖子内容已被屏蔽
文物2 - 2009-2-1 20:26:00
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\windows\system32\724A1196.dat><N/A>
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件,不能清空的不管它
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

连网用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
天月来了 - 2009-2-2 8:46:00


还用了影子系统呢

C:\windows\system32\Shadow\ShadowTip.exe

你进入正常系统搞搞吧

你不嫌烦,俺也不怕

我给你清理方法试试
天月来了 - 2009-2-2 8:52:00
请不惜一切代价用解压工具WinRAR依路径打开文件夹找下面文件,压缩发来:
D:\Process Explorer\USP10.dll
C:\Program Files\Tencent\QQ\PSAPI.DLL

天月来了 - 2009-2-2 9:00:00
——————————————————————————————————————————
这里下载手工清理木马群工具包,并解压至C盘任意文件夹里。(全部工具内附操作说明):
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689
———————————————————————
下载usp10.dll扫描清理工具。
http://bbs.ikaka.com/attachment.aspx?attachmentid=481869

然后作好下面操作需要的所有准备,彻底断网处理。不断网无法解决问题。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。

如果XDELBOX工具操作中提示出错,不能操作,可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。(全部内附操作说明图)

启动XDELBOX程序。复制粘贴下面文件操作删除:

C:\windows\system32\winlib .dll
C:\windows\system32\anymie360.dll
C:\Program Files\Internet Explorer\PowerNt.Onz
C:\Program Files\Internet Explorer\JoooNt8.Jzx
C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat
C:\windows\system32\cbhclajf.dll
C:\windows\system32\jophlmna.dll
C:\windows\system32\bnifahhi.dll
C:\windows\system32\hlmmbahh.dll
C:\windows\system32\cekclidm.dll
C:\windows\system32\feldablj.dll
C:\windows\system32\elibcepb.dll
C:\windows\system32\lohogaae.dll
C:\windows\system32\hobecimm.dll
C:\windows\system32\fhofeodb.dll
C:\windows\system32\dncaeejo.dll
C:\windows\system32\mljocdof.dll
C:\windows\system32\dgpacomp.dll
C:\windows\system32\hmeijjgg.dll
C:\windows\system32\imbnnghi.dll
C:\windows\system32\amlkfjcb.dll
C:\windows\system32\pnkiocgg.dll
C:\windows\system32\nnjahgko.dll
D:\Process Explorer\USP10.dll
C:\Program Files\Tencent\QQ\PSAPI.DLL
C:\DOCUME~1\www\LOCALS~1\Temp\742192
C:\windows\system32\Nskhelper2.sys
C:\windows\system32\NsPass0.sys
C:\windows\system32\NsPass1.sys
C:\windows\system32\NsPass2.sys
C:\windows\system32\NsPass4.sys
C:\windows\system32\724A1196.dat
C:\windows\System32\Drivers\msiffei.sys
C:\windows\system32\drivers\aumlu.sys
C:\windows\system32\drivers\acpidisk.sys
C:\windows\rundl132.exe
C:\windows\system32\wd0105.dll
C:\windows\anymie360.exe
C:\windows\TEMP\428796.txt
C:\windows\system32\anymie360.exe

重启电脑自动运行完毕进入系统后,不论删除结果如何立即继续下面操作。

运行usp10.dll扫描清理工具扫描电脑,并继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”(有操作说明),清除检测到的所有映像劫持项。没有就不管它了。
尽量反复检测几遍。
———————————————————————
可以这贴里找相同系统里的srsvc.dll,wiaservc.dll,w32time.dll,ctfmon.exe这四个文件下载:
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”(有使用说明)
将下面四个替换回正常的系统文件.
C:\windows\system32\srsvc.dll
C:\windows\system32\wiaservc.dll
C:\windows\system32\w32time.dll
C:\windows\system32\ctfmon.exe
————————————————————————————————————
按照这贴恢复rpcss服务以及恢复其对应rpcss.dll文件,可以直接使用2楼相同系统的附件直接点击运行,出来的界面里点击“开始替换”,然后重启电脑即可。
http://bbs.ikaka.com/showtopic-8561436.aspx
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空(就是选择“编辑”)这必须关闭杀毒软件的监控,否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项,然后编辑时你可能看不到什么,只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <load><C:\windows\rundl132.exe>  []
    <Storm2Set><C:\WINDOWS\system32\rundll32.exe "C:\PROGRA~1\StormII\StormSet.dll",CheckEnv>  [北京暴风网际科技有限公司]
    <Startwd><rundll32.exe C:\windows\system32\wd0105.dll,Hook>  []
    <Alcmtr><anymie360.exe>  []
    <qq><C:\windows\TEMP\428796.txt>  []
    <{3891567A-57D1-40E2-B080-F9C5E7ED4D86}><C:\windows\system32\jophlmna.dll>  []
    <{5A041F13-A111-12A4-B0CF-F99818AA68A5}><C:\windows\system32\ar12A401dll.dll>  []
    <{1566BA11-A899-408F-BFD3-0DFCAC9ADBCC}><C:\windows\system32\hlmmbahh.dll>  []
    <{97428C00-9F29-40F7-808A-B51CA06C0CBA}><C:\windows\system32\pnkiocgg.dll>  []
    <{A654F3CB-E34C-480B-835A-40804127320F}><C:\windows\system32\amlkfjcb.dll>  []
    <{26B77012-D930-431D-A2C6-C087B7647C88}><C:\windows\system32\imbnnghi.dll>  []
    <{16E23300-43C6-41CA-87DE-F271C3C082F1}><C:\windows\system32\hmeijjgg.dll>  []
    <{773A1048-341B-469C-9771-272B8EB32F7F}><C:\windows\system32\nnjahgko.dll>  []
    <{D09AC869-F932-46FA-89B1-7097D3983FE3}><C:\windows\system32\dgpacomp.dll>  []
    <{6538CD8F-076A-4196-BD52-CCBE203DA748}><C:\windows\system32\mljocdof.dll>  []
    <{D7CAEE38-D46E-4708-B4F5-FC570033D891}><C:\windows\system32\dncaeejo.dll>  []
    <{F18FE8DB-03DA-4BA9-9AEB-0DD2FD18FF2D}><C:\windows\system32\fhofeodb.dll>  []
    <{18BEC266-AFE9-4A43-8442-D842B1D8A2B1}><C:\windows\system32\hobecimm.dll>  []
    <{58180AAE-C86D-4FB5-8A9B-4F9F23A504C6}><C:\windows\system32\lohogaae.dll>  []
    <{E52BCE9B-21E4-4A94-8951-BEC498F831DE}><C:\windows\system32\elibcepb.dll>  []
    <{FE5DAB53-7D2A-4CC6-AE2E-F85DDB012430}><C:\windows\system32\feldablj.dll>  []
    <{D94B22C9-7CA6-4FC7-BE64-52B968F1B84F}><C:\Program Files\Internet Explorer\JoooNt8.Jzx>  []
    <{CE4C52D6-96D0-49FE-A071-24C8FC35B821}><C:\windows\system32\cekclidm.dll>  []
    <{478932A2-862F-4A34-A264-54A6EB998FDE}><C:\Program Files\Internet Explorer\PowerNt.Onz>  [
    <3891567A><C:\windows\system32\jophlmna.dll>  []
    <1566BA11><C:\windows\system32\hlmmbahh.dll>  []
    <97428C00><C:\windows\system32\pnkiocgg.dll>  []
    <A654F3CB><C:\windows\system32\amlkfjcb.dll>  []
    <26B77012><C:\windows\system32\imbnnghi.dll>  []
    <16E23300><C:\windows\system32\hmeijjgg.dll>  []
    <773A1048><C:\windows\system32\nnjahgko.dll>  []
    <D09AC869><C:\windows\system32\dgpacomp.dll>  []
    <6538CD8F><C:\windows\system32\mljocdof.dll>  []
    <D7CAEE38><C:\windows\system32\dncaeejo.dll>  []
    <F18FE8DB><C:\windows\system32\fhofeodb.dll>  []
    <18BEC266><C:\windows\system32\hobecimm.dll>  []
    <58180AAE><C:\windows\system32\lohogaae.dll>  []
    <E52BCE9B><C:\windows\system32\elibcepb.dll>  []
    <FE5DAB53><C:\windows\system32\feldablj.dll>  []
    <CE4C52D6><C:\windows\system32\cekclidm.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[NsDlRK250 / NsDlRK250][Running/Manual Start]
  <\??\C:\windows\system32\Nskhelper2.sys><N/A>

[NsPsDk00 / NsPsDk00][Running/Manual Start]
  <\??\C:\windows\system32\NsPass0.sys><N/A>

[NsPsDk01 / NsPsDk01][Running/Manual Start]
  <\??\C:\windows\system32\NsPass1.sys><N/A>

[NsPsDk02 / NsPsDk02][Running/Manual Start]
  <\??\C:\windows\system32\NsPass2.sys><N/A>

[NsPsDk04 / NsPsDk04][Running/Manual Start]
  <\??\C:\windows\system32\NsPass4.sys><N/A>

[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\windows\system32\724A1196.dat><N/A>

[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[npkwy / npkwy][Running/Boot Start]
  <\SystemRoot\system32\drivers\aumlu.sys><N/A>

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\windows\system32\drivers\acpidisk.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {478932A2-862F-4A34-A264-54A6EB998FDE} <C:\Program Files\Internet Explorer\PowerNt.Onz, N/A>
[]
  {5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\windows\system32\ar12A401dll.dll, N/A>
[]
  {D94B22C9-7CA6-4FC7-BE64-52B968F1B84F} <C:\Program Files\Internet Explorer\JoooNt8.Jzx, N/A>
[]
  {478932A2-862F-4A34-A264-54A6EB998FDE} <C:\Program Files\Internet Explorer\PowerNt.Onz, N/A>
[]
  {5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\windows\system32\ar12A401dll.dll, N/A>
[]
  {D94B22C9-7CA6-4FC7-BE64-52B968F1B84F} <C:\Program Files\Internet Explorer\JoooNt8.Jzx, N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击后跳出的界面里的“常规”项内点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件,不能清空的不管它
————————————————————————————————————
当扫描usp10.dll扫描清理工具提示重启电脑时

再重启电脑,反复检查,操作的结果,

连网用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
youarepig - 2009-2-2 13:49:00
如何````压缩上来啊??还有找不到你说的第2个文件```
aaccbbdd - 2009-2-2 13:53:00
winrar压缩文件
放入附件
youarepig - 2009-2-2 13:57:00


引用:
原帖由 aaccbbdd 于 2009-2-2 13:53:00 发表
winrar压缩文件
放入附件

病毒文件来了```

附件: 新建 WinRAR 压缩文件.rar
aaccbbdd - 2009-2-2 13:58:00
16楼处理完
上传新日志
youarepig - 2009-2-2 13:59:00
```还有C盘冒出``一大堆```病毒文件````也要发上来吗??
我在```扫描一下``把日志弄上来`你们看看```
youarepig - 2009-2-2 14:03:00


引用:
原帖由 youarepig 于 2009-2-2 13:59:00 发表
```还有C盘冒出``一大堆```病毒文件````也要发上来吗??
我在```扫描一下``把日志弄上来`你们看看```


附件: SREngLOG.log
youarepig - 2009-2-2 14:11:00
``````我的系统是 SP3还是  SP2的啊````:default5: `真的不知道哦``
backway - 2009-2-2 14:12:00
建议使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\docume~1\www\locals~1\temp\363723
c:\docume~1\www\locals~1\temp\wowinitcode.dat
C:\windows\Dll.dll

删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:

[IFEO[Thunder5.exe]]    <svchost.exe>


关闭IE用下面的工具全选,清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.rar(升级后使用)
超级游戏迷 - 2009-2-2 14:37:00
威金病毒还在……:default2:



引用:
[C:\WINDOWS\system32\Macromed\Flash\Flash9a.ocx]  [Adobe Systems, Inc., 9,0,0,296]
建议赶快把adobe flashplayer activeX插件升级到10以上版本,9及以下版本有重大漏洞---网马的最爱。

最要紧的是赶快安装杀软和防火墙,否则你的问题永远完不了……:default21:
youarepig - 2009-2-2 17:35:00
`````````    yun  ````shu ru fa you huai le````
youarepig - 2009-2-2 17:41:00


引用:
原帖由 youarepig 于 2009-2-2 17:35:00 发表
`````````    yun  ````shu ru fa you huai le````

  zhe shi sha guo du hou de ri zhi  ` bang man zai kan xia ````

附件: SREngLOG.log
夲號ヱ被ジ盜 - 2009-2-2 17:44:00
什么?威金还在?

试试专杀
http://download.rising.com.cn/zsgj/Vikingkiller.scr
以下异常
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<bgswitch><C:\WINDOWS\system32\bgswitch.exe>  []
  <ctfmon.exe><C:\windows\system32\ctfmon.exe>  [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Alcmtr><anymie360.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  <{0551752B-A83F-490A-8419-22BDB9896C30}><C:\windows\system32\gllhnlib.dll>  []
    <{33E40787-1F6C-49B9-A068-9C3B35B95D38}><C:\windows\system32\jjekgnon.dll>  []
    <{BA1676AA-9C35-4B3E-A3A5-B7310991912E}><C:\windows\system32\bahmnmaa.dll>  []
    <{87DB2F14-156C-41A8-A595-DF9E2EDEDE3F}><C:\windows\system32\ondbifhk.dll>  []
    <{52C751EE-214A-47BB-8A24-DA6EFEFB5F20}><C:\windows\system32\licnlhee.dll>  []
    <{D3CE1587-E0FF-4553-A277-4A58847064DD}><C:\windows\system32\djcehlon.dll>  []
    <{07293843-1BB5-48BF-BF74-1E22DCA4F85C}><C:\windows\system32\gnipjokj.dll>  []
    <{39AD66A1-E482-4BA8-9093-0E3E04648091}><C:\windows\system32\jpadmmah.dll>  []
    <{E3C7A058-759B-4A86-A224-B6DA150E6EEF}><C:\windows\system32\ejcnaglo.dll>  []
    <{D48E18C0-38FF-46D3-900E-168671657CF1}><C:\windows\system32\dkoehocg.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <0551752B><C:\windows\system32\gllhnlib.dll>  []
    <33E40787><C:\windows\system32\jjekgnon.dll>  []
    <BA1676AA><C:\windows\system32\bahmnmaa.dll>  []
    <87DB2F14><C:\windows\system32\ondbifhk.dll>  []
    <52C751EE><C:\windows\system32\licnlhee.dll>  []
    <D3CE1587><C:\windows\system32\djcehlon.dll>  []
    <07293843><C:\windows\system32\gnipjokj.dll>  []
    <39AD66A1><C:\windows\system32\jpadmmah.dll>  []
    <E3C7A058><C:\windows\system32\ejcnaglo.dll>  []
    <D48E18C0><C:\windows\system32\dkoehocg.dll>  []
驱动程序
[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\windows\system32\8FD0401C.dat><N/A>
威胁
    [C:\windows\system32\gllhnlib.dll]  [N/A, ]
    [C:\windows\system32\jjekgnon.dll]  [N/A, ]
    [C:\windows\system32\bahmnmaa.dll]  [N/A, ]
    [C:\windows\system32\ondbifhk.dll]  [N/A, ]
    [C:\windows\system32\licnlhee.dll]  [N/A, ]
    [C:\windows\system32\djcehlon.dll]  [N/A, ]
    [C:\windows\system32\gnipjokj.dll]  [N/A, ]
    [C:\windows\system32\jpadmmah.dll]  [N/A, ]
    [C:\windows\system32\ejcnaglo.dll]  [N/A, ]
    [C:\windows\system32\dkoehocg.dll]  [N/A, ]
youarepig - 2009-2-2 19:33:00


引用:
原帖由 夲號ヱ被ジ盜 于 2009-2-2 17:44:00 发表
什么?威金还在?

试试专杀
http://download.rising.com.cn/zsgj/Vikingkiller.scr
以下异常
启动项目
注册表
[HKEY_......

瑞星下了````也还原了系统,
专杀也弄了```
现在在发个日志上来``看看``
是不是正常了

附件: SREngLOG.log
超级游戏迷 - 2009-2-2 20:05:00
楼主,建议认真看看我前面的建议和回复,如果你认为那些是废话,那我啥也不说了。

提醒:不是所有的病毒都能通过手工杀毒彻底杀灭的,建议注意效率。

日志异常项目如下,还是一堆:
=================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><aoenpeic.dll,lbomcgjf.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{A8E79E2C-5BF9-4E2F-89ED-0E1BBD7F2523}><C:\windows\system32\aoenpeic.dll>  []
    <{5B86C03F-2A23-4135-B90B-8D2EB589020B}><C:\windows\system32\lbomcgjf.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <A8E79E2C><C:\windows\system32\aoenpeic.dll>  []
    <5B86C03F><C:\windows\system32\lbomcgjf.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
    <IFEO[CCenter.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
    <IFEO[RavMonD.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
    <IFEO[RavTask.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe]
    <IFEO[RsTray.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
==================================
正在运行的进程(红色)
[PID: 1720 / www][C:\windows\system32\Ati2evxx.exe]  [, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 1848 / www][C:\windows\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
    [C:\windows\system32\aoenpeic.dll]  [N/A, ]
    [C:\windows\system32\lbomcgjf.dll]  [N/A, ]
    [C:\windows\fonts\ComRes.dll]  [N/A, ]
    [C:\windows\fonts\ctm04004.ttf]  [N/A, ]
    [C:\windows\system32\leeofioo.dll]  [N/A, ]
    [C:\windows\system32\jiceiika.dll]  [N/A, ]
    [C:\windows\system32\ihkdkkdl.dll]  [N/A, ]
    [C:\windows\system32\ekmlknph.dll]  [N/A, ]
[PID: 1764 / www][C:\windows\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 2496 / www][C:\DOCUME~1\www\LOCALS~1\Temp\319786]  [, 1, 0, 0, 1]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\67264.dll]  [N/A, ]
[PID: 2772 / www][C:\windows\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ])]
[PID: 3336 / www][F:\sreng2\SREngLdr.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [F:\sreng2\USP10.dll]  [Microsoft Corporation, 1.0420.2600.5512 (xpsp.080413-2105)]
    [C:\windows\system32\aoenpeic.dll]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
[PID: 2420 / www][F:\sreng2\SRE903a8a6a.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [F:\sreng2\USP10.dll]  [Microsoft Corporation, 1.0420.2600.5512 (xpsp.080413-2105)]
    [C:\windows\system32\aoenpeic.dll]  [N/A, ]
    [C:\DOCUME~1\www\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
    [C:\windows\system32\lbomcgjf.dll]  [N/A, ]
==================================
进程特权扫描
特殊特权被允许: SeDebugPrivilege [PID = 2496, C:\DOCUME~1\WWW\LOCALS~1\TEMP\319786]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2496, C:\DOCUME~1\WWW\LOCALS~1\TEMP\319786]
==================================
12
查看完整版本: 看下日志`中毒拉`
© 2000 - 2025 Rising Corp. Ltd.