瑞星卡卡安全论坛

昨晚中了犇牛木马群.弄了一晚以为杀完了.把论坛所有清除USP10的都用了一次.杀不出USP10了
可是其他盘的应用程序还是在被感染..运行后又再次感染
最厉害的是.中了这病毒.下载不能下载,居然连卡卡论坛都上不了..其他网站都能开 
隔断时间不断跳出广告网页..启动项添加一个随机命名项目.随机命名一个病毒程序运行.而且是不断的在增加.我在任务管理器看到有5,6个同名病毒程序在运行
强就一个字
现在怀疑此病毒可能已出新变种..下面是我恢复系统前扫描的文件.不恢复系统跟本上不了论坛.汗.现在程序不敢点,怕再中.以实验几次
123是病毒文件。是新感染随机命名出来的
我又得恢复系统了。不然又都不能下载杀毒软件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

附件: SREngLOG1.log

附件: 123.rar

感染中毒后.WIN清理助手.其实一些杀毒查毒程序也不能打开.不过我用360能开看到启动项只留下ctfmon.exe这个程序,其他都没有

没见到犀牛....

C:\WINDOWS\83BXTQNIXY.exe
C:\Program Files\HKHYJ8MS.exe
C:\WINDOWS\RG9LQ17F.exe
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

删除服务
[NAW6NV / NAW6NV][Stopped/Auto Start]
  <C:\WINDOWS\RG9LQ17F.exe -3DTMX><唾吖瑾笸后璜策态怙茸漪溯菘弗砼尚>

下载大蜘蛛更新后,全盘查杀
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

用C:\手工清理木马群工具包里的xdelbox删除以下文件：

C:\WINDOWS\RG9LQ17F.exe
C:\WINDOWS\83BXTQNIXY.exe
C:\Program Files\HKHYJ8MS.exe

删除重启后使用SREng修复下面各项：
启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
[NAW6NV / NAW6NV][Stopped/Auto Start]
  <C:\WINDOWS\RG9LQ17F.exe -3DTMX><唾吖瑾笸后璜策态怙茸漪溯菘弗砼尚>

用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

那现在你电脑还有问题吗？LZ都说是日志是恢复系统前扫的···
何不现在上个日志

汗，现在发恢复系前的日志干吗:default3:
上传现在的日志啊。

启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,删除时勾选抑制文件生成
C:\Program Files\HKHYJ8MS.exe
C:\WINDOWS\83BXTQNIXY.exe
C:\WINDOWS\RG9LQ17F.exe

在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[onxzxr / onxzxr][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\gphuk.sys><N/A>

[NAW6NV / NAW6NV][Stopped/Auto Start]
  <C:\WINDOWS\RG9LQ17F.exe -3DTMX><唾吖瑾笸后璜策态怙茸漪溯菘弗砼尚>

似乎是感染型的病毒呀。
下载大蜘蛛到系统分区运行。
非系统分区的程序不要再随便使用了！

点了程序又中了。。我刚开卡卡论坛。刚进去。IE自动关闭了。 大概10秒左右。好象会识别卡卡论坛的。
现在打的字是我在记事本打好的。不然根本字都没打完又关闭了。其他网站不会关闭

兄弟，你从哪看出是感染型病毒的？我怎么不知道:default10:
请指教下小菜鸟···

感染型病毒 请把被感染文件压缩传上来

建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\hbodfaba.dll
c:\windows\system32\faemgkcc.dll
c:\windows\system32\nejammkp.dll
c:\windows\system32\ggceaaoe.dll
c:\windows\system32\kojmjona.dll
c:\windows\system32\mefnnmjb.dll
c:\windows\system32\pclhpchm.dll
c:\windows\system32\agpglhki.dll
c:\windows\system32\ookdnjbd.dll
c:\windows\system32\bcfopdmn.dll
c:\windows\system32\kniodmfg.dll
c:\windows\system32\lnpfaclh.dll
c:\program files\j16vm7rzi3nh.exe
c:\windows\il3mv.exe
c:\windows\85wbuczwg08k.exe -5ublsj8he
c:\windows\system32\drivers\msiffei.sys

删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：

[1B8DFABA]    <C:\WINDOWS\system32\hbodfaba.dll>
[FAE604CC]    <C:\WINDOWS\system32\faemgkcc.dll>
[7E3A6649]    <C:\WINDOWS\system32\nejammkp.dll>
[00CEAA8E]    <C:\WINDOWS\system32\ggceaaoe.dll>
[4836387A]    <C:\WINDOWS\system32\kojmjona.dll>
[6EF7763B]    <C:\WINDOWS\system32\mefnnmjb.dll>
[9C519C16]    <C:\WINDOWS\system32\pclhpchm.dll>
[A0905142]    <C:\WINDOWS\system32\agpglhki.dll>
[884D73BD]    <C:\WINDOWS\system32\ookdnjbd.dll>
[BCF89D67]    <C:\WINDOWS\system32\bcfopdmn.dll>
[4728D6F0]    <C:\WINDOWS\system32\kniodmfg.dll>
[579FAC51]    <C:\WINDOWS\system32\lnpfaclh.dll>
[{7E3A6649-CF75-46FF-9CCF-29103CBE8A54}]    <C:\WINDOWS\system32\nejammkp.dll>
[{1B8DFABA-3E55-40B8-929A-5E1250F2FBBC}]    <C:\WINDOWS\system32\hbodfaba.dll>
[{FAE604CC-358B-4E6B-A7CF-2B72A257C766}]    <C:\WINDOWS\system32\faemgkcc.dll>
[{9C519C16-4D9C-4BD0-9EF4-456B5976DC8F}]    <C:\WINDOWS\system32\pclhpchm.dll>
[{A0905142-AF0D-4431-A6E8-0B075613284C}]    <C:\WINDOWS\system32\agpglhki.dll>
[{884D73BD-2498-4D14-ABCD-4276C1652632}]    <C:\WINDOWS\system32\ookdnjbd.dll>
[{BCF89D67-D06A-4B58-BE21-8F4A511939B8}]    <C:\WINDOWS\system32\bcfopdmn.dll>
[{4728D6F0-A2B7-4366-A3BD-D78E2BBA87A1}]    <C:\WINDOWS\system32\kniodmfg.dll>
[{579FAC51-300A-4454-8875-8F06270A19BB}]    <C:\WINDOWS\system32\lnpfaclh.dll>
[{00CEAA8E-B1CB-47E9-AFE5-02AE1CCBB93E}]    <C:\WINDOWS\system32\ggceaaoe.dll>
[{4836387A-035E-4FDA-BD33-FB74462FD27D}]    <C:\WINDOWS\system32\kojmjona.dll>
[{6EF7763B-D41B-42DC-ACBC-2437F9F5464A}]    <C:\WINDOWS\system32\mefnnmjb.dll>
注意该项[AppInit_DLLs]修改：把<nejammkp.dll,hbodfaba.dll,faemgkcc.dll,lnpfaclh.dll,ggceaaoe.dll,kojmjona.dll,mefnnmjb.dll,pclhpchm.dll,agpglhki.dll,ookdnjbd.dll,bcfopdmn.dll,kniodmfg.dll>修改为<>即清空

启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

[616718 / 616718]    <>
[616718 / 616718]    <>
[77187 / 77187]    <>
[77187 / 77187]    <>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>


启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：

[PRE1WEI9PR / PRE1WEI9PR]    <C:\WINDOWS\85WBUCZWG08K.exe -5UBLSJ8HE>


用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/


先照着处理吧，之后再反应。

:default3: 我都服了.中了这个毒它什么功能都限制.下载也下载不了..
很多操作也受限制.没办法只能又恢复系统一次,现在在下个蜘蛛来查一次看看

C:\WINDOWS\83BXTQNIXY.exe
C:\Program Files\HKHYJ8MS.exe

楼主传这两个程序上来看看

这病毒真牛··比犇牛还牛:default1:

123是病毒文件。是新感染随机命名出来的
我又得恢复系统了。不然又都不能下载杀毒软件

恢复完系统
勿动非系统分区任何程序！！！！！！！！！！！！！

恢复完系统

根据
http://www.virscan.org/report/e2 ... 1a09e230f5fcff.html
提示
找到可以查杀该病毒的杀毒软件
安装在C盘，升级，全盘杀毒！
注：杀毒前勿运行非系统盘任何程序

拿到样本过,不过偶和BY在虚拟机(VPC)下都未实现感染行为.....

虚拟机
实机再试试:default10:

b]1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\j16vm7rzi3nh.exe
c:\windows\system32\agpglhki.dll
c:\windows\system32\bcfopdmn.dll
c:\windows\system32\faemgkcc.dll
c:\windows\system32\ggceaaoe.dll
c:\windows\system32\hbodfaba.dll
c:\windows\system32\kniodmfg.dll
c:\windows\system32\kojmjona.dll
c:\windows\system32\lnpfaclh.dll
c:\windows\system32\mefnnmjb.dll
c:\windows\system32\nejammkp.dll
c:\windows\system32\ookdnjbd.dll
c:\windows\system32\pclhpchm.dll
c:\windows\system32\vm31bprp.ax
c:\windows\85wbuczwg08k.exe -5ublsj8he
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\legitcheckcontrol.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[AppInit_DLLs]修改：把<nejammkp.dll,hbodfaba.dll,faemgkcc.dll,lnpfaclh.dll,ggceaaoe.dll,kojmjona.dll,mefnnmjb.dll,pclhpchm.dll,agpglhki.dll,ookdnjbd.dll,bcfopdmn.dll,kniodmfg.dll>修改为<>即清空
[1B8DFABA]    <C:\WINDOWS\system32\hbodfaba.dll>
[FAE604CC]    <C:\WINDOWS\system32\faemgkcc.dll>
[7E3A6649]    <C:\WINDOWS\system32\nejammkp.dll>
[00CEAA8E]    <C:\WINDOWS\system32\ggceaaoe.dll>
[4836387A]    <C:\WINDOWS\system32\kojmjona.dll>
[6EF7763B]    <C:\WINDOWS\system32\mefnnmjb.dll>
[9C519C16]    <C:\WINDOWS\system32\pclhpchm.dll>
[A0905142]    <C:\WINDOWS\system32\agpglhki.dll>
[884D73BD]    <C:\WINDOWS\system32\ookdnjbd.dll>
[BCF89D67]    <C:\WINDOWS\system32\bcfopdmn.dll>
[4728D6F0]    <C:\WINDOWS\system32\kniodmfg.dll>
[579FAC51]    <C:\WINDOWS\system32\lnpfaclh.dll>
[{7E3A6649-CF75-46FF-9CCF-29103CBE8A54}]    <C:\WINDOWS\system32\nejammkp.dll>
[{1B8DFABA-3E55-40B8-929A-5E1250F2FBBC}]    <C:\WINDOWS\system32\hbodfaba.dll>
[{FAE604CC-358B-4E6B-A7CF-2B72A257C766}]    <C:\WINDOWS\system32\faemgkcc.dll>
[{9C519C16-4D9C-4BD0-9EF4-456B5976DC8F}]    <C:\WINDOWS\system32\pclhpchm.dll>
[{A0905142-AF0D-4431-A6E8-0B075613284C}]    <C:\WINDOWS\system32\agpglhki.dll>
[{884D73BD-2498-4D14-ABCD-4276C1652632}]    <C:\WINDOWS\system32\ookdnjbd.dll>
[{BCF89D67-D06A-4B58-BE21-8F4A511939B8}]    <C:\WINDOWS\system32\bcfopdmn.dll>
[{4728D6F0-A2B7-4366-A3BD-D78E2BBA87A1}]    <C:\WINDOWS\system32\kniodmfg.dll>
[{579FAC51-300A-4454-8875-8F06270A19BB}]    <C:\WINDOWS\system32\lnpfaclh.dll>
[{00CEAA8E-B1CB-47E9-AFE5-02AE1CCBB93E}]    <C:\WINDOWS\system32\ggceaaoe.dll>
[{4836387A-035E-4FDA-BD33-FB74462FD27D}]    <C:\WINDOWS\system32\kojmjona.dll>
[{6EF7763B-D41B-42DC-ACBC-2437F9F5464A}]    <C:\WINDOWS\system32\mefnnmjb.dll>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[PRE1WEI9PR / PRE1WEI9PR]    <C:\WINDOWS\85WBUCZWG08K.exe -5UBLSJ8HE>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[616718 / 616718]    <>
[616718 / 616718]    <>
[77187 / 77187]    <>
[77187 / 77187]    <>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

    系统修复－－　浏览器加载项之如下项删除：
[Windows Genuine Advantage Validation Tool]    <C:\WINDOWS\system32\legitcheckcontrol.dll>

    系统修复－－ HOSTS文件－－重置

重启电脑之后建议用以下工具对系统进行全面的清理。
1:关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe
2:下载windows清理助手清理恶意软件  升级以后再使用                 
http://www.arswp.com/download/arswp2/arswp2.zip

可以用大蜘蛛尝试扫描修复

建议下载大蜘蛛进 行全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

从日志中能看出来这个感染型病毒？
顺便问下，杀软可以查杀的意思是删除被感染的文件还是修复成原来的样子？

服了.弄了一早上了..先吃饭:default3:

回楼主，你的情况我遇到过了，重新格式化后，不能运行系统外的其他不干净的程序，包括保存在硬盘的瑞星，这种病毒什么都污染。
印象十分深刻，瑞星的网站不能访问，其他的都可以。
正象某人所说的，不知道是谁杀谁。

随机启动项（尤其是服务）+楼主描述

我弄了三四天才明白其中道理。
其实系统控制权就是一把交椅，当病毒得到了控制权时，它绝对不让瑞星等坐上来的，它先将瑞星修改了，和谐了，所以，和谐后的瑞星根本查不出来什么病毒，但病毒仍然存在。

所以，首先要将系统格式化，确立一个干净的系统，这个时候一定要切记，不能重新启动，这时立即连接上瑞星网www.rising.com.cn,下一个免费杀毒包，安装在C盘上，
才能杀毒，重新开始，每个盘号都要格式化一次才能用。
其他方法下什么杀毒包都没有，都不可能杀得了，因为这种病毒的运行机制就是不让各种杀毒软件运行，或者假运行，一运行就说内存出错，又说内存不够。

这种病毒厉害之处在于很了解目前的杀毒路径，

瑞星不能杀该病毒:default3: :default3:

第一个日志可没启动项哦
[NAW6NV / NAW6NV][Stopped/Auto Start]
  <C:\WINDOWS\RG9LQ17F.exe -3DTMX><唾吖瑾笸后璜策态怙茸漪溯菘弗砼尚>
这个服务要搜索不到。是不是因为后面的火星文啊······
至于LZ的描述嘛···他说中了X牛，被误导了:default21:

我昨晚的确是中了X牛..还用论坛的UPS10清理工具杀出1大堆USP10.DLL文件.这个病毒前面没出现..
是我清理完X牛后再一次恢复系统后点程序后发现的...在这之前我都把QQ的整个文件夹都删了.现在系统还没装QQ,

17
18楼自己操作去