问题已解决，感谢各位热心帮忙的朋友！ bbs.ikaka.com

灵刃星夜 - 2009-2-5 13:09:00

昨天，我家里的电脑莫名其妙的中了一个木马，因为我现在在公司里，所以也无法提供太具体的病毒名称、样本等细节，只能大致描述下我遇到的情况和我已经采取了的措施，大家帮忙判断下，我接下来应该怎么做才好。

具体表现是这样的：首先是瑞星告诉我在C盘的system32这个文件夹下有某个文件正在试图装入什么东西，警告我阻止，然后又是一个窗口告诉我某程序正在试图更改我的什么注册表也建议我阻止，我全都照做了。然后弹出数个小窗口，告诉我某个加载项在加载过程中出错还是什么的。我全部点击确定把这些窗口取消掉后，打开QQ，安全中心就告诉我有盗号木马存在，我反复试了多次都无法真正删除，包括重起机子等手段。然后我用瑞星进行全面查杀，第一次在电脑中查杀出了27个病毒，全部是system32这个文件夹下的，当时瑞星显示的是病毒已经全部清除。但是我重起机子后，病毒依然存在，于是我又在安全模式下又进行了一次全面查杀，这次只查杀到7个病毒（这时病毒的文件名已经改变了，还是在system32下的，只可惜我没记住），我用手动的办法全部清除掉后再次重启，开机后依然老样子，瑞星依然报警告诉我有什么东西试图自行加载什么东西进电脑，只能采取阻止的措施，然后一看，盗号木马依然存在……

因为我不是很精通电脑，所以我描述中难免有不清楚的地方，又因为我现在不在家里，也无法告知大家病毒名称是什么。但我想，这里一定有高人能看出我到底遇到了什么情况，能给点建议吗？比如，我回家后该怎么做？我应该下载什么专用查杀工具吗？

我实在是不想重装系统了，离上次重装不过两月不到，懒得麻烦。本来以为用了正版瑞星因为能比较好的避免这些情况的，可惜还是出问题了。
我一开机就出现这个东西：

我启动瑞星的时候又出现了下面这个：

QQ安全中心查到的病毒是个：

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ )

附件: SREngLOG.log

caogensk - 2009-2-5 13:14:00

可能是中了木马群，看看这个贴，参考一下http://bbs.ikaka.com/showtopic-8592394.aspx

天月来了 - 2009-2-5 13:15:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

灵刃星夜 - 2009-2-5 13:26:00

知道了，不过也得等到我回家后才能继续操作……

我实在是郁闷的很，因为平时我上网一般都不喜欢去不熟悉的地方乱转，按道理不应该中毒的吧:default11: 可昨天莫名其妙的就遭了，而且还杀都杀不掉。

对了，除了瑞星，有没有什么比较好点的工具能搭配使用的，大家能给个建议吗？我一般就把瑞星的监控中心和防火墙开着。

Enao2005 - 2009-2-5 13:30:00

引用:

原帖由 灵刃星夜 于 2009-2-5 13:26:00 发表
知道了，不过也得等到我回家后才能继续操作……

我实在是郁闷的很，因为平时我上网一般都不喜欢去不熟悉的地方乱转，按道理不应该中毒的吧:default11: 可昨天莫名其妙的就遭了，而且还杀都杀不掉。

对了，除了瑞星，有没有什么比较好点的工具能搭配使用的，大家能给个建议吗？我一般就把瑞星的监控中心和防火墙开着。

瑞星防火墙用户建议加载杭州志愿者论坛的自定义规则包,效果很好
http://bbs.hzva.org/forumdisplay.php?fid=151&sid=pR3PB4

bhman - 2009-2-5 13:56:00

估计又是这种USP10的东西,你的情况和我差不多一样,也是玩QQ第二天起床一开机就中了.出奇的慢.然后瑞星总是发现病毒,总是删除不了,然后总是郁闷,然后总是打不开RISING网站,然后又是疑神疑鬼,怀疑那个地方有病毒,但总是查不到.结果全部将各盘格式化一次,确保各分区安全,装上新版瑞星后,才感觉安全,原来已经下载了的瑞星软件就不要了,要重新下载.
因为这个病毒好象会修改瑞星的软件包.

灵刃星夜 - 2009-2-5 14:06:00

引用:

原帖由 bhman 于 2009-2-5 13:56:00 发表
估计又是这种USP10的东西,你的情况和我差不多一样,也是玩QQ第二天起床一开机就中了.出奇的慢.然后瑞星总是发现病毒,总是删除不了,然后总是郁闷,然后总是打不开RISING网站,然后又是疑神疑鬼,怀疑那个地方有病毒,但总是查不到.结果全部将各盘格式化一次,确保各分区安全,装上新版瑞星后,才感觉安全,原来已经下载了的瑞星软件就不要了,要重新下载.
因为这个病毒好象会修改瑞星的软件包.

汗:default21: 没你说的那么夸张，事实上，如果不怕掉密码的话，我完全可以忽略这个病毒的，因为从我昨天的操作上来看并没有什么拖慢速度之类的情况，也没有什么网站打不开的情况。
除了开机一会后，瑞星会向你报警这点比较讨厌外（我音响开的较大，一弹页面出来那可受不了），基本来说，就是害怕掉号！

我现在除了要杀掉这个木马，还需要各位达人帮忙推荐点好的防御和查杀木马的工具，来配合瑞星使用。实话说，瑞星面对这种情况真的表现的不咋地，让人失望。但是我已经出钱买了瑞星，好歹平时表现的也还可以，也不能不用……
我知道的木马工具就360和木马克星几种，大家觉得怎么搭配较好？:default27:

backway - 2009-2-5 14:12:00

杀软本来就病毒木马通杀涅
本来木马就属于病毒涅
好像现在木马清道夫木马克星这些曾经风光的专杀木马工具现在都不怎么样了
你可以找绿色杀软大蜘蛛超级巡警等配合瑞星使用咯
x貌似也和瑞星兼容吧。

灵刃星夜 - 2009-2-5 18:42:00

已经按照要求重新整理了帖子，麻烦各位帮看下！:default71:
另外，病毒名称貌似在改变，昨天看到的QQ安全中心的报告，病毒名貌似不是这个……唉，实在搞不明白，希望那位帮帮忙吧！

文物2 - 2009-2-5 19:59:00

请把C:\WINDOWS\SYSTEM32\NVSVC32.EXE上报可疑文件区

启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,删除时勾选抑制文件生成
C:\WINDOWS\system32\der606981.dll
C:\WINDOWS\system32\dmblnipj.dll
C:\WINDOWS\system32\kfehchbi.dll

灵刃星夜 - 2009-2-5 20:06:00

楼上的朋友，能不能说明的再傻瓜点？这个这个，我看不大明白，对软件我就是小白级的:default3:
另外，我按照2楼的要求，下载的专杀工具是Antivirus

不知道能不能杀掉这个病毒？

灵刃星夜 - 2009-2-5 20:17:00

引用:

原帖由 文物2 于 2009-2-5 19:59:00 发表
请把C:\WINDOWS\SYSTEM32\NVSVC32.EXE上报可疑文件区

启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,删除时勾选抑制文件生成
C:\WINDOWS\system32\der606981.dll

抱歉，我无法启动XDELBOX程序，只要一启动就出现这个：

根本就关不了哪个，不知道怎么回事！

文物2 - 2009-2-5 20:23:00

http://bbs.ikaka.com/showtopic-8417665.aspx
找到适合本系统的comres.exe
替换本机的
C:\WINDOWS\system32\comres.exe
替换方法
：
http://bbs.ikaka.com/showtopic-8561436.aspx

单愉 - 2009-2-5 20:25:00

我才郁闷啊　今天休假回公司，才ＱＱ就中毒了　　　一会就把我游戏帐号给盗了　值钱的东西都拿走了．．．

灵刃星夜 - 2009-2-5 20:42:00

引用:

原帖由 文物2 于 2009-2-5 20:23:00 发表
http://bbs.ikaka.com/showtopic-8417665.aspx
找到适合本系统的comres.exe
替换本机的
C:\WINDOWS\system32\comres.exe
替换方法
：
http://bbs.ikaka.com/showtopic-8561436.aspx

我看不明白该怎么做啊！
能不能说明一下？我该怎么做？
帮忙帮到底吧，真的谢谢你了！
我现在遇到的情况是这样的，因此你叫我下载的工具根本无法使用：

另外，我已经按照你在13楼提供的地址去操作过一次了，还是不行的。

灵刃星夜 - 2009-2-5 21:18:00

我最终是使用Antivirus才把文件删掉的，
但是C:\WINDOWS\system32\dmblnipj.dll这个，依然无法删除！
另外，我的瑞星还是有点小问题，点击出杀毒软件的时候这个东西会不断的跳出来，需要反复点击确定才能消失！

我用QQ安全中心查杀了一遍，原先显示的盗号木马已经没有了。

我现在准备再用瑞星全面杀次毒，看看效果怎么样。

灵刃星夜 - 2009-2-5 21:52:00

已经用瑞星全盘查杀了一遍，依旧发现了8个病毒:default3:
另外，瑞星杀毒软件和防火墙都无法升级了，跳出来的页面显示的是无法找到该页。:default20:
看来还是有没有查杀到的病毒！
我重新扫描了一遍，麻烦再帮我看看！

附件: SREngLOG01.log

灵刃星夜 - 2009-2-5 22:03:00

现在我的电脑的状况是XDELBOX程序无法使用，用Antivirus无法查杀到C:\WINDOWS\system32\dmblnipj.dll，麻烦那位高手能帮忙想个办法解决了？

我反复用QQ医生查过，盗号木马已经找不到了，但是16楼和17楼说的毛病反复出现！

bhman - 2009-2-5 22:11:00

引用:

原帖由 灵刃星夜 于 2009-2-5 21:18:00 发表
我最终是使用Antivirus才把文件删掉的，
但是C:\WINDOWS\system32\dmblnipj.dll这个，依然无法删除！
另外，我的瑞星还是有点小问题，点击出杀毒软件的时候这个东西会不断的跳出来，需要反复点击确定才能消失！

[color=r

你会慢慢下来的,你可能装的软件不多,我的装的就很多了.
就是这个ＣＯＭＲＥＳ．ＤＬＬ，我一直想用瑞星杀它，就是杀不死，气得我很生气！
后来我终于醒了，为什么呢？你想想，当这ＣＯＭＲＥＳ．ＤＬＬ坐到系统控制权这个位子时，它会让瑞星干掉它吗？瑞星用什么干掉它？会让其它杀软杀死它吗？我可以说，你如果不重新夺回系统控制权，你就是杀到２０１０年也不会有结果．
不信你试试．

caogensk - 2009-2-5 22:16:00

水平有限，感觉没什么问题了。
这个服务满可疑的，baidu·google都找不到。
[Network Connections. / download02][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\der606981.dll><N/A>
这个文件貌似不是原来的了。
C:\WINDOWS\system32\rpcss.dll
开始——运行——dllcache
在里面找到这个文件到C:\WINDOWS\system32替换一下。

bhman - 2009-2-5 22:18:00

赶快备份重要文档．
如果瑞星失效的话，说明已经全面感染了．
必须全面分别格式化各盘号．
要重新下载瑞星．
因为那里包已经被感染了．

因为你现在做的行为，我已经做过了，只不过是大同小异罢了．
我希望你还是找一个有点经验的程序员来做，你自己做，很危险！
如果你的硬盘有很多重要资料的话．

文物2 - 2009-2-5 22:24:00

请稍等．我帮您找一下comres．

文物2 - 2009-2-5 22:29:00

引用:

原帖由 灵刃星夜 于 2009-2-5 20:17:00 发表
[quote] 原帖由 文物2 于 2009-2-5 19:59:00 发表
请把C:\WINDOWS\SYSTEM32\NVSVC32.EXE上报可疑文件区

启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,

附件: xpsp3正常系统文件备份.rar

文物2 - 2009-2-5 22:34:00

这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

您可以使用其中的SmtRpl工具．工具包内附使用说明

灵刃星夜 - 2009-2-5 22:50:00

引用:

原帖由 caogensk 于 2009-2-5 22:16:00 发表
水平有限，感觉没什么问题了。
这个服务满可疑的，baidu·google都找不到。
[Network Connections. / download02][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\der606981.dll><

朋友，我真的看不大明白你写的东西，不是你写错了，而是我不大懂这些，不好意思啊！
能不能说的通俗易懂点？
就当我是刚学电脑的好了，有没有傻瓜点教程？:default6:
我不太明白你想让我替换哪个文件？

rstgl - 2009-2-5 22:55:00

comres.dll是系统文件，你的这个文件可能被病毒删除或者替换了。你需要找一个正常的操作系统，复制这个文件到你的电脑的SYSTEM32目录。

灵刃星夜 - 2009-2-5 23:03:00

引用:

原帖由 文物2 于 2009-2-5 22:34:00 发表
这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

您可以使用其中的SmtRpl工具．工具包内附使用说明

下下来以后具体怎么用呢？我是说，这个工具是用来替换的，我要替换哪个文件呢？

这样，我再具体描述下我现在能看明白的问题，你在前面要我删除的几个文件，我已经全部删除了，用工具没删除的哪个，我也手工找到删掉了（至少我看到的是删掉了）
瑞星我刚刚也成功的升级了，QQ安全中心也查杀不到问题了！
刚刚用瑞星又全面查杀了一遍，这次只发现两个病毒了。
唯一的问题就是一启动瑞星就会出现16楼的那张图所示的东西，反复几次点击确定后才能把它消除掉。同样的情况也会发生在我启动REALPLAYER播放器的时候（其他的还没试过，目前就发现这两样软件会触发这个东西）但是，一旦那东西不显示了，不管是瑞星还是REALPLAYER还是能正常使用的！

基本情况就这样，我再附上刚刚再次扫描的报告一份，麻烦再帮我看看！

附件: SREngLOG.log

Enao2005 - 2009-2-5 23:10:00

C:\WINDOWS\system32\rpcss.dll重名为1.dll,将附件的rpcss.dll和comres.dll放到C:\WINDOWS\system32

C:\WINDOWS\system32\der606981.dll
C:\WINDOWS\system32\1.dll
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点右键==>选择剪贴版导入不检查路径==>点右键==>选择==>立刻重启执行删除

删除服务
[Network Connections. / download02][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\der606981.dll><N/A>

附件: 10.rar

文物2 - 2009-2-5 23:47:00

引用:

原帖由 灵刃星夜 于 2009-2-5 23:03:00 发表
[quote] 原帖由 文物2 于 2009-2-5 22:34:00 发表
这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
[url=http://bbs.ikaka.com/attachment.aspx?attachmentid=480689]http://bbs.ikaka.com/attachment.aspx?attachmenti

引用:

将你找到的要替换的正常系统文件放到本程序同一文件夹内，也就是和SmtRpl.exe放在一起。
然后输入你需要替换的文件的绝对正确路径信息。
例如你要替换：
C:\WINDOWS\system32\COMRes.dll文件
那么就在程序窗口输入
C:\WINDOWS\system32\COMRes.dll
然后点击“开始替换”即可
提示替换成功后，立即重启电脑即可以替换了。
必须重启电脑才能替换完成。
注意：要替换的正常系统文件，必须放在本程序同目录内，就是相同文件夹内。

附件在下面

附件: SmtRpl替换文件工具.rar

文物2 - 2009-2-5 23:56:00

作完上面的替换工作后，可以让您的系统不再弹出缺少COMRes.dll的提示．但有还有些文件需要彻底的删除．

引用:

启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,删除时勾选抑制文件生成
C:\WINDOWS\system32\der606981.dl
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[Network Connections. / download02][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\der606981.dll><N/A>

打开c:\windows\system32\drivers\etc目录，找到hosts文件．右键点击hosts文件时按住shift文件．选择打开方式为notepad,删除以下内容后保存．
127.0.0.1 858656.com
127.0.0.1 my123.com
127.0.0.1 8749.com
127.0.0.1 4199.com
127.0.0.1 7379.com
127.0.0.1 7255.com
127.0.0.1 3448.com
127.0.0.1 7939.com
127.0.0.1 8009.com
127.0.0.1 piaoxue.com
127.0.0.1 kzdh.com
127.0.0.1 about.blank.la
127.0.0.1 6781.com
127.0.0.1 7322.com
127.0.0.1 9991.com
127.0.0.1 yu.8s7.net
127.0.0.1 1.jopanqc.com
127.0.0.1 2.joppnqq.com
127.0.0.1 wg.47255.com
127.0.0.1 1.joppnqq.com
127.0.0.1 xxx.m111.biz
127.0.0.1 1.jopenqc.com
127.0.0.1 1.jopenkk.com
127.0.0.1 xxx.vh7.biz
127.0.0.1 xxx.j41m.com
127.0.0.1 3.joppnqq.com
127.0.0.1 d.93se.com
127.0.0.1 www.868wg.com
127.0.0.1 xxx.mmma.biz
127.0.0.1 ilove.com
127.0.0.1 tp.shpzhan.cn
127.0.0.1 www.tomwg.com
127.0.0.1 www.cike007.cn
127.0.0.1 www.22aaa.com
127.0.0.1 xx.exiao01.com
127.0.0.1 www.exiao01.com
127.0.0.1 www.exiao01.com
127.0.0.1 new.749571.com
127.0.0.1 xtx.kv8.info
127.0.0.1 cao.kv8.info
127.0.0.1 1.jopmmqq.com
127.0.0.1 171817.171817.com
127.0.0.1 d2.llsging.com
127.0.0.1 down.malasc.cn
127.0.0.1 llboss.com
127.0.0.1 nx.51ylb.cn
127.0.0.1 my.531jx.cn
127.0.0.1 qqq.dzydhx.com
127.0.0.1 qqq.hao1658.com
127.0.0.1 www.333292.com
127.0.0.1 down.18dd.net
127.0.0.1 up.22x44.com
127.0.0.1 aaa.faba01.com
127.0.0.1 bad.tqdlt.cn
127.0.0.1 1.chsipo.com
127.0.0.1 c3.aishangai.net
127.0.0.1 c2.aishangai.net
127.0.0.1 xxx.188dm.com
127.0.0.1 x2.1a2b3c1.com
127.0.0.1 d1.163500.net
127.0.0.1 down.google-serv.cn
127.0.0.1 gxgxy.net
127.0.0.1 c0mo.com

瑞星卡卡安全论坛