瑞星卡卡安全论坛

jiu shi zhe xie bingdu shan chu bu liao .hai you bu neng da zi ,zen mo ban a ?ji si ren le .
wo shi shang QQ de shi hou dian le wang zhan de .

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: 未命名.jpg

使用System Repair Engineer扫描日志，将日志作为附件上传到反病毒/反流氓软件论坛上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

http://cu003.www.duba.net/duba/tools/dubatools/install.exe
下载，先处理下那些杀不掉的，设置瑞！星！为开机查Sha选为所有硬盘然后重启

hao le .nong wan le

附件: 新建 文本文档 (2).txt

先处理下
现在没法完全清除

照这里操作：http://bbs.ikaka.com/showtopic-8589597.aspx
完后再 重新上传sreng日志

5楼6楼不想看日志

就不要让求助的自己折腾

因为求助的不知道那些随机名病毒是哪些

xian gao su wo zen mo yong shu ru fa ?
da zi wo kun nan ,.ni men kan zhe ye fei jin

:default3:
、他那日志我早就看完了
那就叫他手工操作了吧

——————————————————————————————————————————
这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689
———————————————————————
下载usp10.dll扫描清理工具。
http://bbs.ikaka.com/attachment.aspx?attachmentid=481869

然后作好下面操作需要的所有准备，彻底断网处理。不断网无法解决问题。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。

如果XDELBOX工具操作中提示出错，不能操作，可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。（全部内附操作说明图）

启动XDELBOX程序。复制粘贴下面文件操作删除：

C:\WINDOWS\anymie360.exe
C:\WINDOWS\System32\anymie360.exe
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\9076B7BC.dat
C:\WINDOWS\fonts\CtmRes.dll
C:\WINDOWS\system32\clagpadi.dll
C:\WINDOWS\fonts\ctm01025.ttf
C:\WINDOWS\fonts\CTM11008.TTF
C:\WINDOWS\system32\anymie360.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat
C:\Program Files\Internet Explorer\PowerNt.Onz
C:\WINDOWS\system32\dgjfbckg.dll
C:\WINDOWS\system32\dohgncbf.dll
C:\WINDOWS\system32\beophaho.dll
C:\WINDOWS\system32\ohnhpggi.dll
C:\WINDOWS\system32\delmiigk.dll
C:\WINDOWS\system32\gcenpdel.dll
C:\WINDOWS\system32\anymie360.dll
C:\WINDOWS\system32\ipgbbaij.dll
C:\WINDOWS\system32\ebgfbake.dll
C:\WINDOWS\system32\ookmicdp.dll
C:\WINDOWS\system32\gjokfklj.dll
C:\WINDOWS\system32\ikanmech.dll
C:\WINDOWS\system32\foabfmbi.dll
C:\WINDOWS\system32\bmkimjbf.dll

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。

运行usp10.dll扫描清理工具扫描电脑，并继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。
尽量反复检测几遍。
———————————————————————
可以这贴里找相同系统里的ctfmon.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\ctfmon.exe替换回正常的系统文件.
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击后跳出的界面里的“常规”项内点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
当扫描usp10.dll扫描清理工具提示重启电脑时

再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

这里找相同系统里的ctmon.exe下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\里的文件替换回正常的系统文件

建议断网操作：

使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\bmkimjbf.dll
c:\windows\system32\foabfmbi.dll
c:\windows\system32\ikanmech.dll
c:\windows\system32\gjokfklj.dll
c:\windows\system32\ookmicdp.dll
c:\windows\system32\ebgfbake.dll
c:\windows\system32\ipgbbaij.dll
c:\windows\system32\gcenpdel.dll
c:\windows\system32\delmiigk.dll
c:\windows\system32\ohnhpggi.dll
c:\windows\system32\beophaho.dll
c:\windows\system32\dohgncbf.dll
c:\program files\internet explorer\powernt.onz
c:\windows\system32\anymie360.exe
c:\windows\anymie360.exe
c:\windows\system32\jdfkkedo.dll
c:\windows\system32\agglklbe.dll
c:\windows\system32\omajbblb.dll
c:\windows\system32\llfollkp.dll
c:\windows\system32\dgkiljij.dll
c:\windows\system32\glnpjola.dll
c:\windows\system32\igjapjob.dll
c:\windows\system32\eckjahhg.dll
c:\windows\system32\gldfkdeg.dll
c:\windows\fonts\ctmres.dll
c:\windows\system32\opcnajkm.dll
c:\windows\system32\fbmnlhhn.dll
c:\windows\system32\mlcechoi.dll
c:\windows\system32\paejedcb.dll
c:\windows\system32\bjpnjhji.dll
c:\windows\system32\oiehadcb.dll
c:\windows\system32\ofhapfdb.dll
c:\windows\system32\dfefebjf.dll
c:\windows\system32\gdabpnck.dll
c:\windows\system32\lcaikgeo.dll
c:\windows\fonts\ctm01025.ttf
c:\windows\fonts\ctm11008.ttf
c:\windows\fonts\ctmres.dll
c:\windows\system32\clagpadi.dll
c:\docume~1\admini~1\locals~1\temp\wowinitcode.dat
c:\windows\system32\anymie360.dll
c:\windows\system32\dgjfbckg.dll
c:\windows\system32\llihldfh.dll
c:\windows\fonts\ctm04004.ttf
c:\windows\system32\ainkbcdj.dll
c:\windows\system32\gebflnfd.dll
c:\windows\system32\jmmmjmge.dll
c:\windows\system32\pfdikkec.dll
c:\windows\system32\pgcmmdin.dll
c:\windows\fonts\ctm09003.ttf
c:\windows\system32\9076b7bc.dat
c:\windows\system32\drivers\msiffei.sys


删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[B64263BF]    <C:\WINDOWS\system32\bmkimjbf.dll>
[F8ABF6B2]    <C:\WINDOWS\system32\foabfmbi.dll>
[24A76EC1]    <C:\WINDOWS\system32\ikanmech.dll>
[0384F453]    <C:\WINDOWS\system32\gjokfklj.dll>
[88462CD9]    <C:\WINDOWS\system32\ookmicdp.dll>
[EB0FBA4E]    <C:\WINDOWS\system32\ebgfbake.dll>
[290BBA23]    <C:\WINDOWS\system32\ipgbbaij.dll>
[0CE79DE5]    <C:\WINDOWS\system32\gcenpdel.dll>
[DE562204]    <C:\WINDOWS\system32\delmiigk.dll>
[81719002]    <C:\WINDOWS\system32\ohnhpggi.dll>
[BE891A18]    <C:\WINDOWS\system32\beophaho.dll>
[D8107CBF]    <C:\WINDOWS\system32\dohgncbf.dll>
[{B64263BF-CFDB-41E4-A74F-38D6794275A5}]    <C:\WINDOWS\system32\bmkimjbf.dll>
[{F8ABF6B2-9A9D-4F00-90BD-07AE4AED256B}]    <C:\WINDOWS\system32\foabfmbi.dll>
[{24A76EC1-8E65-4B06-B49C-CCA3F45447F5}]    <C:\WINDOWS\system32\ikanmech.dll>
[{0384F453-5E9A-49C2-B85F-C602F6D8CA8D}]    <C:\WINDOWS\system32\gjokfklj.dll>
[{88462CD9-A249-4EA3-B874-C843F9359B35}]    <C:\WINDOWS\system32\ookmicdp.dll>
[{EB0FBA4E-A677-454C-8D7F-BBBAB5520971}]    <C:\WINDOWS\system32\ebgfbake.dll>
[{290BBA23-E832-4B65-AF7E-F038D541851D}]    <C:\WINDOWS\system32\ipgbbaij.dll>
[{0CE79DE5-1F92-48BC-ACE6-4D35F5E58DE8}]    <C:\WINDOWS\system32\gcenpdel.dll>
[{DE562204-B158-4B55-BEF2-D365CB4C112E}]    <C:\WINDOWS\system32\delmiigk.dll>
[{81719002-D2A6-4B91-A9CA-42F29D52D3CD}]    <C:\WINDOWS\system32\ohnhpggi.dll>
[{BE891A18-1D8C-4228-8D2F-62795E5A948A}]    <C:\WINDOWS\system32\beophaho.dll>
[{D8107CBF-7877-4065-BF36-587C514133C7}]    <C:\WINDOWS\system32\dohgncbf.dll>
[{478932A2-862F-4A34-A264-54A6EB998FDE}]    <C:\Program Files\Internet Explorer\PowerNt.Onz>
[Alcmtr]    <anymie360.exe>
[{3DF44ED8-FA6B-40BD-8CB4-DE51A58DA9A3}]    <C:\WINDOWS\system32\jdfkkedo.dll>
[{A00545BE-937D-46B6-A24A-897B008139FF}]    <C:\WINDOWS\system32\agglklbe.dll>
[{86A3BB5B-D337-4D4D-A478-80C01F7E3D2C}]    <C:\WINDOWS\system32\omajbblb.dll>
[{55F85549-37C1-40A2-A474-47FC40A20A6A}]    <C:\WINDOWS\system32\llfollkp.dll>
[{D0425323-9A14-484F-9BF9-E2F6BDCE7B1B}]    <C:\WINDOWS\system32\dgkiljij.dll>
[{0579385A-D97A-422B-8957-B7ED47032D90}]    <C:\WINDOWS\system32\glnpjola.dll>
[{203A938B-4105-4FD9-8817-47E1F8C07D7D}]    <C:\WINDOWS\system32\igjapjob.dll>
[{EC43A110-3951-4889-9E1B-76B06DF03CAB}]    <C:\WINDOWS\system32\eckjahhg.dll>
[{05DF4DE0-8529-4521-B89C-8C6E6F1AE252}]    <C:\WINDOWS\system32\gldfkdeg.dll>
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\CtmRes.dll beophaho.dll,ohnhpggi.dll,dohgncbf.dll,ebgfbake.dll,delmiigk.dll,gcenpdel.dll,ipgbbaij.dll,kmon.dll,ookmicdp.dll,gjokfklj.dll,ikanmech.dll,foabfmbi.dll,bmkimjbf.dll>修改为<>即清空
[89C7A346]    <C:\WINDOWS\system32\opcnajkm.dll>
[FB675117]    <C:\WINDOWS\system32\fbmnlhhn.dll>
[65CEC182]    <C:\WINDOWS\system32\mlcechoi.dll>
[9AE3EDCB]    <C:\WINDOWS\system32\paejedcb.dll>
[B3973132]    <C:\WINDOWS\system32\bjpnjhji.dll>
[82E1ADCB]    <C:\WINDOWS\system32\oiehadcb.dll>
[8F1A9FDB]    <C:\WINDOWS\system32\ofhapfdb.dll>
[DFEFEB3F]    <C:\WINDOWS\system32\dfefebjf.dll>
[0DAB97C4]    <C:\WINDOWS\system32\gdabpnck.dll>
[5CA240E8]    <C:\WINDOWS\system32\lcaikgeo.dll>
[3DF44ED8]    <C:\WINDOWS\system32\jdfkkedo.dll>
[A00545BE]    <C:\WINDOWS\system32\agglklbe.dll>
[86A3BB5B]    <C:\WINDOWS\system32\omajbblb.dll>
[55F85549]    <C:\WINDOWS\system32\llfollkp.dll>
[D0425323]    <C:\WINDOWS\system32\dgkiljij.dll>
[0579385A]    <C:\WINDOWS\system32\glnpjola.dll>
[203A938B]    <C:\WINDOWS\system32\igjapjob.dll>
[EC43A110]    <C:\WINDOWS\system32\eckjahhg.dll>
[05DF4DE0]    <C:\WINDOWS\system32\gldfkdeg.dll>
[{89C7A346-DBE8-43F4-8EEC-C6518079CA99}]    <C:\WINDOWS\system32\opcnajkm.dll>
[{FB675117-C180-457C-9EB0-67E8020B2D00}]    <C:\WINDOWS\system32\fbmnlhhn.dll>
[{65CEC182-D711-4001-97FB-5BDAB70364A4}]    <C:\WINDOWS\system32\mlcechoi.dll>
[{9AE3EDCB-BF79-45D1-BE7E-DB600804AA66}]    <C:\WINDOWS\system32\paejedcb.dll>
[{B3973132-8ECF-48E5-B6CF-20428CAD993F}]    <C:\WINDOWS\system32\bjpnjhji.dll>
[{82E1ADCB-5E31-46C1-A081-9D92B4E281DF}]    <C:\WINDOWS\system32\oiehadcb.dll>
[{8F1A9FDB-2CD9-4E2E-895C-B4BE721A2E7A}]    <C:\WINDOWS\system32\ofhapfdb.dll>
[{DFEFEB3F-227C-46B9-9B19-2EAAE7F0E198}]    <C:\WINDOWS\system32\dfefebjf.dll>
[{0DAB97C4-A5B7-44FB-856B-420D9354027E}]    <C:\WINDOWS\system32\gdabpnck.dll>
[{5CA240E8-383F-4FB4-B2D3-4E7FE34447D3}]    <C:\WINDOWS\system32\lcaikgeo.dll>
[IFEO[CCenter.exe]]    <svchost.exe>
[IFEO[RsAgent.exe]]    <svchost.exe>
[IFEO[Thunder5.exe]]    <svchost.exe>


启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):


[io / io]    <>
[io / io]    <>
[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\9076B7BC.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

系统修复——浏览器加载项之如下项删除


[]    <C:\Program Files\Internet Explorer\PowerNt.Onz>
[]    <C:\Program Files\Internet Explorer\PowerNt.Onz>

系统目录外的其他各软件程序同目录内病毒恶意创建的usp10.dll文件，以及QQ目录内被病毒恶意创建的psapi.dll文件找到全部删除



用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/