瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于usp10.dll病毒
ljwhite - 2009-2-4 11:54:00
我置顶的方法杀过了,但是有时会复发,不知道怎么回事。
高手帮我看看,我的sreng报告。


ps:我看大家在说psapi.dll,我好像没发现有这个文件,但是在D盘下瑞星目录下发现有2个,这个是系统的正常文件吧?正常的应该是多少大小的啊?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; TheWorld)

附件: SREngLOG.log
backway - 2009-2-4 12:12:00
.建议使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\docume~1\admini~1\locals~1\temp\xfvldkaddmqj
c:\program files\internet explorer\uzzzktznt.ozg

删除重启后使用SREng修复下面各项:
启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):
[fbwbjqohbkyc / fbwbjqohbkyc]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xfvldkaddmqj>
[io / io]    <>
[io / io]    <>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\UzzzKtzNt.Ozg>
[QQ]    <C:\Program Files\Tencent\QQ\QQ.EXE>


瑞星下的psapi.dll正常
pigboy - 2009-2-4 12:26:00
下载Windows清理助手:http://www.arswp.com(卸载QQ彻底删除QQ文件夹 删除不了用XDelBox)
下载XDelBox删除以下文件(下载地址:http://dly2007.ys168.com)

使用说明:删除时复制所有要删除文件的路径 在待删除文件列表里点击右键选择从剪贴板导入 导入后在要删除文件上点击右键

选择立刻重启删除 电脑会重启进入DOS界面进行删除操作 运行xdelbox前最好卸载所有可移动存储介质(包括U盘、MP3、手机存储卡等)

-----------------------------------------------------
以下的删除操作都要求安全模式下进行
-----------------------------------------------------
C:\Program Files\HITACHI\NETMDMP\BIN\dmguiinv.dll
C:\Program Files\HITACHI\NETMDMP\BIN\dmcltmng.dll
C:\Program Files\HITACHI\NETMDMP\BIN\DMRCALIB.dll
C:\Program Files\HITACHI\NETMDMP\BIN\DMRCWINH.dll
C:\Program Files\HITACHI\NETMDMP\BIN\dmrcjplb.dll
C:\Program Files\HITACHI\NETMDMP\BIN\DMRCCMP2.dll
C:\Program Files\HITACHI\NETMDMP\BIN\Dmrcwcrp.dll
C:\PROGRAM FILES\HITACHI\NETMDMP\BIN\ALERTPRO.EXE

可疑驱动
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[Conexant Setup API / UIUSys][Stopped/Disabled]
  <system32\DRIVERS\UIUSYS.SYS><N/A>

删除浏览器加载项  清空Temp文件夹垃圾
[wasiqcjacjug / wasiqcjacjug][Stopped/Disabled]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\izkffmaenxnm><N/A>
[fbwbjqohbkyc / fbwbjqohbkyc][Running/Disabled]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xfvldkaddmqj><N/A>
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, N/A>
[Edit Class]
  {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
[HD300AController Control]
  {FD7910DE-821C-4C63-BAF1-E645B16DB155} <E:\PROGRA~1\PANASO~1\HD300A~1\HD300A~1.OCX, Panasonic>
  {CAB2E13E-848E-4DA0-A97D-53245C25449A} <C:\Program Files\Internet Explorer\UzzzKtzNt.Ozg, N/A>
[HD300AController Control]
  {FD7910DE-821C-4C63-BAF1-E645B16DB155} <E:\PROGRA~1\PANASO~1\HD300A~1\HD300A~1.OCX, Panasonic>
backway - 2009-2-4 12:33:00
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>基本上日志都有吧 正常

Conexant Setup API / UIUSys][Stopped/Disabled]
  <system32\DRIVERS\UIUSYS.SYS><N/A>已经禁用了

C:\Program Files\HITACHI\NETMDMP\BIN是LZ安装的软件吧?

[Edit Class]
  {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >招行的插件
ljwhite - 2009-2-4 12:41:00


引用:
原帖由 backway 于 2009-2-4 12:12:00 发表
.建议使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入.在要删除文


谢谢,那两个文件我早就删除了,并做了抑制。
那两个驱动我也已经禁止了。

现在刚把那两个浏览器加载项删除了,看下次会不会复发了。
谢谢
ljwhite - 2009-2-4 12:43:00
回复3楼,谢谢

C:\Program Files\HITACHI都是我公司自己装的软件。不能删的。E:\PROGRA~1\PANASO~1也是公司软件。
temp文件夹也已经清空。
看下次还是否会复发了。谢谢楼上两位。
backway - 2009-2-4 12:54:00
那第一个驱动删除不知道会不会导致异常

[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>系统自带的
backway - 2009-2-4 12:57:00
上面贴发错了
pigboy - 2009-2-4 13:04:00
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>

Conexant Setup API / UIUSys][Stopped/Disabled]
  <system32\DRIVERS\UIUSYS.SYS><N/A>

这两个驱动应该都有公司命的啊  Sreng可以识别的到  上面的两个真不明白
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>

Conexant Setup API / UIUSys][Stopped/Disabled]
  <system32\DRIVERS\UIUSYS.SYS><Conexant Systems, Inc>


还有楼主说的C:\Program Files\HITACHI和E:\PROGRA~1\PANASO~1都是我公司自己装的软件 

我不晓得是不是中了恶意软件还是未被识别 建议还是重新安装下好吖  另外建议清理Temp文件夹  还有重装下QQ 
做完这些后  在上传份日志给大家瞧瞧
backway - 2009-2-4 13:07:00
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>这个例外

Conexant Setup API / UIUSys][Stopped/Disabled]
  <system32\DRIVERS\UIUSYS.SYS><N/A>已经禁用了
有的程序没有签名正常
newcenturymoon - 2009-2-4 13:16:00


引用:
原帖由 backway 于 2009-2-4 13:07:00 发表
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>这个例外

Conexant Setup API / UIUSys][Stopped/Disabled]
  <system32\DRIVERS\UIUSYS.SYS><N/A>已经......

backway说的对
pigboy应该再多学学
pigboy - 2009-2-4 13:22:00
恩  老师 我在学习了:default6:
newcenturymoon - 2009-2-4 13:35:00
但 也没有绝对的  因为看文件名或报告 获得的信息也是有限的 最近就很多替换secdrv.sys的病毒  所以如果要是真碰上了这种情况 无法把握的  可以要求用户把文件传上来  如果是系统里面有的 最简单的是和自己系统的做比较
当然如果有 病毒分析能力  自己分析分析 更加可靠
pigboy - 2009-2-4 13:37:00
老师  那MD5值和版本号是否可以判断呢
天月来了 - 2009-2-4 14:03:00
基本上可以用来比对

但是不同版本的系统,可能还是有区别的
ljwhite - 2009-2-4 16:29:00
都是高手,要好好跟你们学学。
回pigboy

  C:\Program Files\HITACHI和E:\PROGRA~1\PANASO~1都是系统开机就要运行的,自己装的,没问题:default6:
secdrv.sys这个我好像没启动。不知道有什么用。
1
查看完整版本: 关于usp10.dll病毒
© 2000 - 2025 Rising Corp. Ltd.