瑞星卡卡安全论坛

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件: SREngLOG.log

555555555  gangcai  wo  an ni shuo de nong 
zhijie si ji le
chongxin sao le fen rizhi  mafan bang kan kan

e:\暴风\usp10.dll
打包发上来

winrar提取文件方法

1.
http://bbs.ikaka.com/showtopic-8417665.aspx
2楼附件里找到
ctfmon.exe
替换本机的
C:\WINDOWS\system32\ctfmon.exe
替换方法
：
http://bbs.ikaka.com/showtopic-8561436.aspx

2.搜索C盘外全部usp10.dll
全部删除

3.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\docume~1\admini~1\locals~1\temp\805942
c:\docume~1\admini~1\locals~1\temp\739957
c:\windows\system32\bihgobmg.dll
c:\windows\system32\bkccpmck.dll
c:\windows\system32\cednbfek.dll
c:\windows\system32\ggpdcoca.dll
c:\windows\system32\hffbibai.dll
c:\windows\system32\gmenacbb.dll
c:\windows\system32\jgmiaddd.dll
c:\windows\system32\kjbcfpde.dll
c:\windows\system32\oleplmki.dll
c:\windows\system32\opaodepg.dll
c:\windows\system32\ffpdnngj.dll
c:\windows\fonts\comres.dll
c:\windows\fonts\ctm04004.ttf
c:\windows\system32\afjpdppl.dll
c:\windows\system32\bccefocm.dll
c:\windows\system32\fgopjkih.dll
c:\windows\system32\fchdalfh.dll
c:\windows\system32\fikgamnd.dll
c:\windows\system32\kjddfmne.dll
c:\windows\system32\kljgcmhg.dll
c:\windows\system32\nclgohek.dll
c:\windows\system32\plemnmdc.dll
c:\windows\system32\1bd20f4c.dat
c:\windows\system32\drivers\msiffei.sys
c:\program files\internet explorer\powernt.onz

4.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[95E676DC]    <C:\WINDOWS\system32\plemnmdc.dll>
[AF39D995]    <C:\WINDOWS\system32\afjpdppl.dll>
[FC1DA5F1]    <C:\WINDOWS\system32\fchdalfh.dll>
[BCCEF8C6]    <C:\WINDOWS\system32\bccefocm.dll>
[F240A67D]    <C:\WINDOWS\system32\fikgamnd.dll>
[43DDF67E]    <C:\WINDOWS\system32\kjddfmne.dll>
[009DC8CA]    <C:\WINDOWS\system32\ggpdcoca.dll>
[43BCF9DE]    <C:\WINDOWS\system32\kjbcfpde.dll>
[1FFB2BA2]    <C:\WINDOWS\system32\hffbibai.dll>
[CED7BFE4]    <C:\WINDOWS\system32\cednbfek.dll>
[B4CC96C4]    <C:\WINDOWS\system32\bkccpmck.dll>
[F7A38607]    <>
[ED5B91E7]    <>
[DDDF18D0]    <>
[B2F574BA]    <>
[96A81043]    <>
[84924A94]    <>
[6BF03BE0]    <>
[55964781]    <>
[536E2856]    <>
[4F8313F0]    <>
[37994A62]    <>
[197D7CE8]    <>
[19213B65]    <>
[{AF39D995-D3D4-484B-AEC1-7D54F18CCD91}]    <C:\WINDOWS\system32\afjpdppl.dll>
[{FC1DA5F1-65AA-4B93-B81F-1EC820495DEC}]    <C:\WINDOWS\system32\fchdalfh.dll>
[{BCCEF8C6-710F-451A-951C-CC864D7AC52E}]    <C:\WINDOWS\system32\bccefocm.dll>
[{F240A67D-F222-4293-8934-5CE70570B1F6}]    <C:\WINDOWS\system32\fikgamnd.dll>
[{43DDF67E-8D44-421E-B946-586F59F113A7}]    <C:\WINDOWS\system32\kjddfmne.dll>
[{009DC8CA-DEA5-45CB-9CDF-D6EFEA2E2891}]    <C:\WINDOWS\system32\ggpdcoca.dll>
[{43BCF9DE-BB91-4ACC-87C2-D6E1A887E829}]    <C:\WINDOWS\system32\kjbcfpde.dll>
[{1FFB2BA2-0EC9-4D94-A4B8-97307AC468D5}]    <C:\WINDOWS\system32\hffbibai.dll>
[{CED7BFE4-CA58-47A6-B421-BD71D4968A53}]    <C:\WINDOWS\system32\cednbfek.dll>
[{B4CC96C4-C7EB-4CE7-91CB-A03D0E546833}]    <C:\WINDOWS\system32\bkccpmck.dll>
[Alcmtr]    <anymie360.exe>
[IFEO[Thunder5.exe]]    <svchost.exe>
  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\1BD20F4C.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PowerNt.Onz>

附件: usp10.rar (2009-2-2 13:32:14, 2.79 K)
该附件被下载次数 255

zhao dao le

谢谢你了 但是我按照你的用XDelBox 删除的时候 说有些文件找不到
然后我用SRE删除你说的注册表项的时候 发现你发的跟里面的完全不同  我尝试删除了一些类似的 但是马上又重新有了 晕 还好能打字了
现在怎么办啊 我再提供份日志还是？

新的日志

附件: SREngLOG1.log (2009-2-2 14:14:52, 70.92 K)
该附件被下载次数 220

能帮我看下吗  详细的说下怎么弄法:default3:

请压缩上传f:\qq\usp10.dll，f:\qq\psapi.dll这2个文件，打开显隐藏与系统文件，以及系统目录外的其他各软件程序同目录内病毒恶意创建的usp10.dll文件，以及QQ目录内被病毒恶意创建的psapi.dll文件




.建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\hdmhdclp.dll
c:\windows\system32\geakhlme.dll
c:\windows\system32\cclmebcb.dll
c:\windows\system32\ajloikbd.dll
c:\windows\system32\fflchagg.dll
c:\windows\system32\iekodlnd.dll
c:\windows\system32\fmdldomh.dll
c:\windows\system32\fbjcflil.dll
c:\windows\system32\oeecleee.dll
c:\windows\system32\edmiilkl.dll
c:\windows\system32\ngdjljel.dll
c:\windows\system32\gmkfecai.dll
c:\windows\system32\aomebkob.dll
c:\windows\fonts\ctm01025.ttf
c:\windows\fonts\ctm09003.ttf
c:\windows\fonts\ctm11008.ttf
c:\windows\fonts\ctm12004.ttf
c:\windows\fonts\ctmres.dll
c:\windows\system32\anymie360.dll
f:\qq\usp10.dll
f:\qq\psapi.dll
c:\windows\system32\1bd20f4c.dat
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\anymie360.exe
c:\windows\anymie360.exe

删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：
[1D61DC59]    <C:\WINDOWS\system32\hdmhdclp.dll>
[0EA4156E]    <C:\WINDOWS\system32\geakhlme.dll>
[CC56EBCB]    <C:\WINDOWS\system32\cclmebcb.dll>
[A35824BD]    <C:\WINDOWS\system32\ajloikbd.dll>
[FF5C1A00]    <C:\WINDOWS\system32\fflchagg.dll>
[2E48D57D]    <C:\WINDOWS\system32\iekodlnd.dll>
[F6D5D861]    <C:\WINDOWS\system32\fmdldomh.dll>
[FB3CF525]    <C:\WINDOWS\system32\fbjcflil.dll>
[8EEC5EEE]    <C:\WINDOWS\system32\oeecleee.dll>
[ED622545]    <C:\WINDOWS\system32\edmiilkl.dll>
[70D353E5]    <C:\WINDOWS\system32\ngdjljel.dll>
[064FECA2]    <C:\WINDOWS\system32\gmkfecai.dll>
[A86EB48B]    <C:\WINDOWS\system32\aomebkob.dll>
[{1D61DC59-C4FC-4A35-B1D2-48A5ABEADB3E}]    <C:\WINDOWS\system32\hdmhdclp.dll>
[{0EA4156E-FB17-454D-8738-44A1435A8820}]    <C:\WINDOWS\system32\geakhlme.dll>
[{CC56EBCB-4329-4C66-852F-B3DF199539BC}]    <C:\WINDOWS\system32\cclmebcb.dll>
[{A35824BD-AF39-48BC-9EAC-4D62D6B781BA}]    <C:\WINDOWS\system32\ajloikbd.dll>
[{FF5C1A00-51D5-4548-A2F9-43AA79A366A6}]    <C:\WINDOWS\system32\fflchagg.dll>
[{2E48D57D-F657-4685-BD9C-B2A731DB01DC}]    <C:\WINDOWS\system32\iekodlnd.dll>
[{F6D5D861-7C25-4D78-BDC3-6DC8248E95CE}]    <C:\WINDOWS\system32\fmdldomh.dll>
[{FB3CF525-9550-4A29-8644-FD474CE4DBE8}]    <C:\WINDOWS\system32\fbjcflil.dll>
[{8EEC5EEE-A343-4539-8C64-8D95AC2B531A}]    <C:\WINDOWS\system32\oeecleee.dll>
[{ED622545-5E1C-44BF-8F8F-A65972351530}]    <C:\WINDOWS\system32\edmiilkl.dll>
[{70D353E5-9A3F-406E-96A1-A0FFC707D963}]    <C:\WINDOWS\system32\ngdjljel.dll>
[{064FECA2-ADDC-449F-9C30-C248D7B0ECDB}]    <C:\WINDOWS\system32\gmkfecai.dll>
[{A86EB48B-52C8-4698-9B0E-C0AD99CA2B19}]    <C:\WINDOWS\system32\aomebkob.dll>
[{478932A2-862F-4A34-A264-54A6EB998FDE}]    <>


注意该项[AppInit_DLLs]修改：把<hdmhdclp.dll,fmdldomh.dll,gmkfecai.dll,iekodlnd.dll,fflchagg.dll,ajloikbd.dll,cclmebcb.dll,geakhlme.dll,edmiilkl.dll,ngdjljel.dll,oeecleee.dll,aomebkob.dll,fbjcflil.dll>修改为<>即清空



动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\1BD20F4C.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

请压缩上传f:\qq\usp10.dll，f:\qq\psapi.dll这2个文件，打开显隐藏与系统文件，以及系统目录外的其他各软件程序同目录内病毒恶意创建的usp10.dll文件，以及QQ目录内被病毒恶意创建的psapi.dll文件

别忘了！！

附件: usp10.rar (2009-2-2 14:35:24, 2.79 K)
该附件被下载次数 192

附件: psapi.rar (2009-2-2 14:35:24, 17.75 K)
该附件被下载次数 230

已经上传 是要等您分析完毕我再执行你的那些操作还是现在执行？望回复 谢谢

另外我的显示隐藏文件夹 每次一开 再看又是关的 55555

谢谢上传
现在可以执行操作

兄弟啊 psapi.dll 删不掉。。

还有啊 我用XDEL删除的时候总是提示没有找到该文件 怎么回事啊 你发的那么长一条 最后只剩几个

建议断网操作，9L做完后，复制所有psapi.dll路径到9L那个工具里，用那工具删之

用附件里的工具，粘贴时选择不检查路径

附件: XDelBox1[1].8剑盟版.rar

文件已看

我置顶木马群贴里清理工具可清理

但是其他病毒文件得手工删除，如果有的话。