瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 谁有XP 2003版的userinit.exe和ctfmon.exe
adfjls445 - 2009-2-8 14:24:00
我最近这机子联网就蓝屏,一开机不联网过了二三小时再联他就不蓝屏
不过反映有点慢,我用机器狗专杀查毒后发现userinit.exe被改动过
rpcss.dll也被改动过,我用过2楼的工具但是我没有干净的userinit.exe
谁帮帮忙发个上来.rpcss.dll9楼也有了

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)
天月来了 - 2009-2-8 14:32:00
没办法

什么叫xp2003版??
piao2008 - 2009-2-8 14:32:00
系统环境?具体的操作系统?
bhman - 2009-2-8 14:34:00


引用:
原帖由 天月来了 于 2009-2-8 14:32:00 发表
没办法

什么叫xp2003版??


是XP或者是2003,楼主省了一些字。
饿了不吃 - 2009-2-8 15:08:00
XP HOME EDITION SP3的在附件。

附件: userinit.rar

附件: ctfmon.rar
adfjls445 - 2009-2-8 15:17:00
就是xp系统 服务器2003  sp2
报告在下面附件\
病毒名字
rodog

附件: SREngLOG.log
backway - 2009-2-8 15:38:00
2003系统

以下请断网操作:

请从相同系统拷贝C:\windows\system32\rpcss.dll,C:\WINDOWS\system32\UserInit.exe,C:\WINDOWS\system32\COMRes.dll这些文件到本机。用附件里的“SmtRpl替换文件工具”替换这些文件,方法里面有。


使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备
c:\windows\system32\folkgceo.dll
c:\windows\system32\moadhgdn.dll
c:\windows\system32\bhecplga.dll
c:\windows\system32\bccjfecb.dll
c:\windows\system32\pjfhcooj.dll
c:\windows\system32\fncdlbeh.dll
c:\windows\system32\dnindopj.dll
c:\windows\system32\ljfnljin.dll
c:\windows\system32\gbmllglc.dll
c:\windows\system32\kgnjccca.dll
c:\windows\system32\oplblobk.dll
c:\windows\system32\bmblaiia.dll
c:\windows\system32\chpbajln.dll
c:\windows\system32\userinit.exe,
c:\windows\system32\anymie360.exe
c:\windows\anymie360.exe
c:\windows\fonts\ctm15002.ttf
c:\windows\system32\csrss.dll
c:\windows\system32\sh05029.dll
c:\windows\system32\sh07006.dll
c:\windows\system32\sh28016.dll
c:\windows\system32\51e6a593.dat
c:\windows\system32\drivers\msiffei.sys


删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:

[F8540CE8]    <C:\WINDOWS\system32\folkgceo.dll>
[68AD10D7]    <C:\WINDOWS\system32\moadhgdn.dll>
[B1EC950A]    <C:\WINDOWS\system32\bhecplga.dll>
[BCC3FECB]    <C:\WINDOWS\system32\bccjfecb.dll>
[93F1C883]    <C:\WINDOWS\system32\pjfhcooj.dll>
[F7CD5BE1]    <C:\WINDOWS\system32\fncdlbeh.dll>
[D727D893]    <C:\WINDOWS\system32\dnindopj.dll>
[53F75327]    <C:\WINDOWS\system32\ljfnljin.dll>
[0B65505C]    <C:\WINDOWS\system32\gbmllglc.dll>
[4073CCCA]    <C:\WINDOWS\system32\kgnjccca.dll>
[895B58B4]    <C:\WINDOWS\system32\oplblobk.dll>
[B6B5A22A]    <C:\WINDOWS\system32\bmblaiia.dll>
[C19BA357]    <C:\WINDOWS\system32\chpbajln.dll>
[{F8540CE8-78A2-41B3-9ADE-EA950866B278}]    <C:\WINDOWS\system32\folkgceo.dll>
[{68AD10D7-AB78-4624-89BB-1B8F03AF45C4}]    <C:\WINDOWS\system32\moadhgdn.dll>
[{B1EC950A-2492-49E0-A923-928E0BD89C72}]    <C:\WINDOWS\system32\bhecplga.dll>
[{BCC3FECB-96DA-4410-A2FE-66885BDB931D}]    <C:\WINDOWS\system32\bccjfecb.dll>
[{93F1C883-602B-426C-877E-6AA7830B7094}]    <C:\WINDOWS\system32\pjfhcooj.dll>
[{F7CD5BE1-AB32-42FD-83D3-293C0E423235}]    <C:\WINDOWS\system32\fncdlbeh.dll>
[{D727D893-D90B-4BFB-B095-364E41159134}]    <C:\WINDOWS\system32\dnindopj.dll>
[{53F75327-3AE8-4525-A6CE-C93C248E3331}]    <C:\WINDOWS\system32\ljfnljin.dll>
[{0B65505C-96D4-461C-80BC-EF5B6C935579}]    <C:\WINDOWS\system32\gbmllglc.dll>
[{4073CCCA-4B9A-409E-BF61-7A5016639FEB}]    <C:\WINDOWS\system32\kgnjccca.dll>
[{895B58B4-CC81-4AAF-B7B0-A756715BD018}]    <C:\WINDOWS\system32\oplblobk.dll>
[{B6B5A22A-0426-457E-BB61-76ADFBC8B9F9}]    <C:\WINDOWS\system32\bmblaiia.dll>
[{C19BA357-05A9-4483-8DA7-982AB503BBEE}]    <C:\WINDOWS\system32\chpbajln.dll>
[{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}]    <>

[Alcmtr]    <; anymie360.exe>

启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[SafeMon360 / SafeMon1]    <\??\C:\WINDOWS\system32\51E6A593.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>


http://bbs.ikaka.com/attachment.aspx?attachmentid=484723下载usp10和psapi文件简易清理器.rar清理下

重启后搜索非系统目录内的usp10.dll文件,找到删除。

用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

附件: SmtRpl替换文件工具.rar
天月来了 - 2009-2-8 15:48:00
2003的系统我一时还真找不到
backway - 2009-2-8 15:53:00
他们搞服务器的应该可以找到2003系统文件
或者到2003系统光盘里提取
adfjls445 - 2009-2-8 17:43:00
对是就是服务器2003版
adfjls445 - 2009-2-8 17:44:00
谢谢
我己经搞好了
不过我没有用干净的文件替换
我是直接把感染的都干掉了
现在好了
aaccbbdd - 2009-2-8 17:46:00
C:\windows\system32\rpcss.dll,C:\WINDOWS\system32\UserInit.exe,C:\WINDOWS\system32\COMRes.dll

删除导致重启不能进系统:default2:
backway - 2009-2-8 17:48:00


引用:
原帖由 adfjls445 于 2009-2-8 17:44:00 发表
谢谢
我己经搞好了
不过我没有用干净的文件替换
我是直接把感染的都干掉了
现在好了


你怎么干掉的?usrinit.exe是管理系统登陆的
非得替换那3个文件。
adfjls445 - 2009-2-8 17:59:00
不知道啊
我是真的删了他了
然后再检查就没有毒了
我是在安全下杀的
再进正常进去也没有事
只有有个调用出错了
aaccbbdd - 2009-2-8 18:00:00

能进得去系统?
backway - 2009-2-8 18:02:00
可能是dllcache里的自动补充了system32下的
LZ再看下system32下有没有userinit.exe
aaccbbdd - 2009-2-8 18:05:00
我记得木马群删除dllcache里的userinit吧:default10:
backway - 2009-2-8 18:07:00
LZ还是看下system32下有没有userinit.exe吧
你这系统暂时好的:default3:
adfjls445 - 2009-2-8 18:10:00
我删了那个文件
现在他又有
能进系统
但是刚一查又出了几个病毒
没有userinit 和ctfmon
中毒是另外几个
adfjls445 - 2009-2-8 18:12:00
你们QQ多少
我QQ是250074650
加我
在QQ上我发是中毒的图件给你们看
backway - 2009-2-8 18:13:00
那些驱动文件你都没管,还有那些dll文件以及anymie360.exe:default21:

哪有这么好,删除几个文件就完事的好事:default16:
adfjls445 - 2009-2-8 18:18:00
晕死
那么麻烦啊
我这是服务器来的
驱动要删了再装?DLL全删了?
anymie360.exe我删了
aryda - 2009-2-8 18:29:00
倒..你中的usp10.dll吧..这不叫麻烦..还有人重装20多次系统都没弄好..按说明做吧..被盗东西可值不得..
adfjls445 - 2009-2-8 18:34:00
怎么搞
按7楼说的顺序搞?
aaccbbdd - 2009-2-8 19:00:00
清理助手下载
安装后,升级清理助手,全盘扫描
清理系统
1
查看完整版本: 谁有XP 2003版的userinit.exe和ctfmon.exe
© 2000 - 2025 Rising Corp. Ltd.