瑞星卡卡安全论坛

我公司台电脑trojan.psw.win32.gameol.**的木马之后，杀毒失败，语言栏调来挑去挑不出来了，瑞星监控就开不了，还会经常死机蓝屏，现在郁闷死了，这些病毒文件都在c:\windows\system32下的一些dll文件，因为台电脑好重要好多重要数据都在里面，不是紧急关头都不想重装，请教一下大虾们有什么办法可以在不重装的情况下搞店！谢谢各位，好急！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

补传日志上来，帮忙看一下，什么回事！

附件: SREngLOG.log

——————————————————————————————————————————
这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

然后作好下面操作需要的所有准备，彻底断网处理。不断网无法解决问题。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。

如果XDELBOX工具操作中提示出错，不能操作，可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。（全部内附操作说明图）

启动XDELBOX程序。复制粘贴下面文件操作删除：

C:\WINDOWS\system32\7C173090.dat
C:\Program Files\Tencent\qq\PSAPI.DLL

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。
尽量反复检测几遍。
———————————————————————
可以这贴里找相同系统里的ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\ctfmon.exe替换回正常的系统文件.
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[Safe Mon 360 / SafeMon0][Running/System Start]
  <\??\C:\WINDOWS\system32\7C173090.dat><N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击后跳出的界面里的“常规”项内点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件可能需要全部卸载，然后重装升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

怎么下载不到

？下载什么？

4楼给那些下载网址都下载不了!

请上传最新日志我看看

好像很复杂！不会搞怎么办呢？这次死定了:default87:

附件: SREngLOG.log

先从
无病毒的Windows Server 2003 的系统
找到C:\WINDOWS\system32\ctfmon.exe
替换本机的
C:\WINDOWS\system32\ctfmon.exe
替换方法
http://bbs.ikaka.com/showtopic-8561436.aspx

替换完再进行以下操作！

全盘搜索usp10.dll
不在C盘的全部删除

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\ddkhmgmb.dll
c:\windows\system32\fydoor0.dll
c:\windows\system32\mydoor0.dll
c:\windows\system32\qhdoor0.dll
c:\windows\system32\iimofjce.dll
c:\windows\system32\oabnjiej.dll
c:\windows\system32\djjjmgkg.dll
c:\windows\system32\lnkbldgn.dll
c:\windows\system32\gfoompko.dll
c:\windows\system32\oeaifmbc.dll
c:\windows\system32\bhcecopl.dll
c:\windows\system32\ddkhmgmb.dll
C:\Program Files\Tencent\qq\PSAPI.DLL
c:\windows\system32\7c173090.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：

[{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}]    <C:\WINDOWS\system32\fydoor0.dll>
[{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}]    <C:\WINDOWS\system32\mydoor0.dll>
[{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}]    <C:\WINDOWS\system32\qhdoor0.dll>
[{2268F3CE-7C59-4D97-A304-2EDFE032D56E}]    <C:\WINDOWS\system32\iimofjce.dll>
[{8AB732E3-13BF-431F-886F-FE9CBC740815}]    <C:\WINDOWS\system32\oabnjiej.dll>
[{D3336040-071F-4E78-92A9-588E70167671}]    <C:\WINDOWS\system32\djjjmgkg.dll>
[{574B5D07-6E59-4A3B-A603-9620ED1A11A3}]    <C:\WINDOWS\system32\lnkbldgn.dll>
[{0F886948-B905-4F65-9547-59C7AC14F5DD}]    <C:\WINDOWS\system32\gfoompko.dll>
[{8EA2F6BC-9925-4AED-97DA-178A0CFA6B3D}]    <C:\WINDOWS\system32\oeaifmbc.dll>
[{B1CEC895-FC1C-4636-9D4D-BADE9E245B05}]    <C:\WINDOWS\system32\bhcecopl.dll>
[{DD41606B-F0EF-4F69-98F4-7AFF377426F5}]    <C:\WINDOWS\system32\ddkhmgmb.dll>
[2268F3CE]    <C:\WINDOWS\system32\iimofjce.dll>
[8AB732E3]    <C:\WINDOWS\system32\oabnjiej.dll>
[D3336040]    <C:\WINDOWS\system32\djjjmgkg.dll>
[574B5D07]    <C:\WINDOWS\system32\lnkbldgn.dll>
[0F886948]    <C:\WINDOWS\system32\gfoompko.dll>
[8EA2F6BC]    <C:\WINDOWS\system32\oeaifmbc.dll>
[B1CEC895]    <C:\WINDOWS\system32\bhcecopl.dll>
[DD41606B]    <C:\WINDOWS\system32\ddkhmgmb.dll>
[IFEO[RsTray.exe]]    <svchost.exe>
[IFEO[Thunder5.exe]]    <svchost.exe>

注意该项[AppInit_DLLs]修改：把<ddkhmgmb.dll>修改为<>即清空

  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务）

[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\7C173090.dat>

清理助手下载
安装后，升级清理助手，全盘扫描
清理系统

现在不会蓝屏了，但是现在每次打开一些进程鼠标执行时的漏斗在狂闪，再发一个日志上来帮忙看一下好了没？

附件: SREngLOG.log

下载XDelBox删除以下文件(下载地址:http://dly2007.ys168.com)

使用说明:删除时复制所有要删除文件的路径 在待删除文件列表里点击右键选择从剪贴板导入 导入后在要删除文件上点击右键

选择立刻重启删除 电脑会重启进入DOS界面进行删除操作 运行xdelbox前最好卸载所有可移动存储介质(包括U盘、MP3、手机存储卡等)

-----------------------------------------------------
以下的删除操作最好在安全模式下进行
-----------------------------------------------------

C:\WINDOWS\system32\mjjincnl.dll
C:\WINDOWS\system32\fbcjkhpa.dll

使用SREng--启动项目 －－注册表之如下项删除：
    <{2268F3CE-7C59-4D97-A304-2EDFE032D56E}><C:\WINDOWS\system32\iimofjce.dll>  [File is missing]
    <{8AB732E3-13BF-431F-886F-FE9CBC740815}><C:\WINDOWS\system32\oabnjiej.dll>  [File is missing]
    <{D3336040-071F-4E78-92A9-588E70167671}><C:\WINDOWS\system32\djjjmgkg.dll>  [File is missing]
    <{574B5D07-6E59-4A3B-A603-9620ED1A11A3}><C:\WINDOWS\system32\lnkbldgn.dll>  [File is missing]
    <{0F886948-B905-4F65-9547-59C7AC14F5DD}><C:\WINDOWS\system32\gfoompko.dll>  [File is missing]
    <{8EA2F6BC-9925-4AED-97DA-178A0CFA6B3D}><C:\WINDOWS\system32\oeaifmbc.dll>  [File is missing]
    <{B1CEC895-FC1C-4636-9D4D-BADE9E245B05}><C:\WINDOWS\system32\bhcecopl.dll>  [File is missing]
    <{DD41606B-F0EF-4F69-98F4-7AFF377426F5}><C:\WINDOWS\system32\ddkhmgmb.dll>  [File is missing]
    <{7CF639A4-2694-4B5A-B575-02267D812B78}><C:\WINDOWS\system32\ncfmjpak.dll>  [File is missing]
    <{3B247EFB-9696-47C5-93DB-8F552A91D24C}><C:\WINDOWS\system32\jbiknefb.dll>  [File is missing]
    <{79BECBD4-F4DA-4609-85EC-91BCEEE9F431}><C:\WINDOWS\system32\npbecbdk.dll>  [File is missing]
    <{6C5940F0-81E8-43FD-A671-00AA19B4A51D}><C:\WINDOWS\system32\mclpkgfg.dll>  [File is missing]
    <{6A9F3226-EBBA-452F-861C-E86F84EA5AD3}><C:\WINDOWS\system32\mapfjiim.dll>  [File is missing]
    <{63327C75-F6E2-4003-A52A-2389B497A5CD}><C:\WINDOWS\system32\mjjincnl.dll>  [File is missing]
    <{FBC3419A-9844-4732-B5C0-4A6375E3AFD6}><C:\WINDOWS\system32\fbcjkhpa.dll>  [File is missing]
    <2268F3CE><C:\WINDOWS\system32\iimofjce.dll>  [File is missing]
    <8AB732E3><C:\WINDOWS\system32\oabnjiej.dll>  [File is missing]
    <D3336040><C:\WINDOWS\system32\djjjmgkg.dll>  [File is missing]
    <574B5D07><C:\WINDOWS\system32\lnkbldgn.dll>  [File is missing]
    <0F886948><C:\WINDOWS\system32\gfoompko.dll>  [File is missing]
    <8EA2F6BC><C:\WINDOWS\system32\oeaifmbc.dll>  [File is missing]
    <B1CEC895><C:\WINDOWS\system32\bhcecopl.dll>  [File is missing]
    <DD41606B><C:\WINDOWS\system32\ddkhmgmb.dll>  [File is missing]
    <7CF639A4><C:\WINDOWS\system32\ncfmjpak.dll>  [File is missing]
    <3B247EFB><C:\WINDOWS\system32\jbiknefb.dll>  [File is missing]
    <79BECBD4><C:\WINDOWS\system32\npbecbdk.dll>  [File is missing]
    <6C5940F0><C:\WINDOWS\system32\mclpkgfg.dll>  [File is missing]
    <6A9F3226><C:\WINDOWS\system32\mapfjiim.dll>  [File is missing]
    <63327C75><C:\WINDOWS\system32\mjjincnl.dll>  [File is missing]
    <FBC3419A><C:\WINDOWS\system32\fbcjkhpa.dll>  [File is missing]

使用SREng--启动项目 －－ 服务－－Win32服务应用程序之如下项删除：
[Contrl Center of Storm Media / ccosm][Stopped/Auto Start]
  <C:\Program Files\StormII\stormliv.exe /asservice><(File is missing)>
[Machine Debug Manager / MDM][Stopped/Auto Start]
  <"C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"><(File is missing)>
[Distributed Transaction Coordinator / MSDTC][Stopped/Auto Start]
  <C:\WINDOWS\system32\msdtc.exe><(File is missing)>

下载下面的ctfmon替换电脑C:\WINDOWS\system32、C:\WINDOWS\ServicePackFiles\i386里的ctfmon.exe

最后然后下载Windows清理助手进行清理  清理后在上传一份日志看看http://www.arswp.com

附件: ctfmon.rar