急救！！！电脑中病毒，请求帮助，在线等！！ bbs.ikaka.com

010225 - 2009-2-13 12:07:00

公司一台笔记本中病毒，中毒症状类似与AV毒状，杀毒与系统防护相关的软件无法安装或者自动关闭，系统安装的正版瑞星打开即刻关闭，电脑内存占用很大，系统运行很慢，但并未发现象autorun或者8位数字exe的文件。一般网页浏览正常，但浏览器的地址栏logo图标没有，只要打开病毒防护的主站IE就会自动关闭。我已经用sreng扫描了，日志保存在附件里。请各位帮我看看什么病毒，怎么解决，在线等回复，谢谢大家了！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Alexa Toolbar; 360SE)

附件: 2.log

附件: 备份文件夹.rar

aaccbbdd - 2009-2-13 12:20:00

HB蝗虫集团+usp10.dll下载器

建议
1.重装系统
2.重装瑞星在C盘
，升级，全盘杀毒

010225 - 2009-2-13 12:25:00

瑞星一直都在c盘的，电脑里很多软件和文件资料，重装毕竟麻烦，万一重装又马上被感染了呢？就是希望能手动清除的。

aaccbbdd - 2009-2-13 12:51:00

1.
http://www.duba.net/zhuansha/263.shtml
清理系统
2.
Sreng官方下载
使用最新版sreng扫日志

天月来了 - 2009-2-13 12:53:00

你是Windows XP SP2系统
———————————————————————
这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689
———————————————————————
下载usp10.dll扫描清理工具。
http://bbs.ikaka.com/attachment.aspx?attachmentid=484723

然后作好下面操作需要的所有准备，彻底断网处理。不断网无法解决问题。
———————————————————————
首先用工具包内的“文件批量提取工具”提取下面那些要你删除的文件，（内附说明图）
不论提取结果如何，继续下面操作。
事后要记得将提取的文件压缩后，发到论坛上来。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。

如果XDELBOX工具操作中提示出错，不能操作，可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。（全部内附操作说明图）

启动XDELBOX程序。复制粘贴下面文件操作删除：

C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\anymie360.exe
C:\WINDOWS\system32\cgfjdjnk.dll
C:\WINDOWS\system32\ahamlafj.dll
C:\WINDOWS\system32\HBSHQ.dll
C:\WINDOWS\system32\cgaifjbk.dll
C:\WINDOWS\system32\ddnapihe.dll
C:\WINDOWS\system32\kklkdgdj.dll
C:\WINDOWS\Fonts\kqufsfah.dll
C:\WINDOWS\Fonts\ouatfxnn.dll
C:\WINDOWS\Fonts\vsalcqtu.dll
C:\WINDOWS\Fonts\mryierql.dll
C:\WINDOWS\Fonts\cqwyflgd.dll
C:\WINDOWS\Fonts\nozrnrsn.dll
C:\WINDOWS\Fonts\advawsxu.dll
C:\WINDOWS\Fonts\zvfzpifa.dll
C:\WINDOWS\system32\friend.dll
C:\WINDOWS\Fonts\awtxznws.dll
C:\WINDOWS\Fonts\flnwvopy.dll
C:\WINDOWS\Fonts\agxnntic.dll
C:\WINDOWS\Fonts\amsbcnnl.dll
C:\WINDOWS\ini\xxx.vbs
C:\WINDOWS\system32\TmmdtmD.dll
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\anymie360.dll
C:\DOCUME~1\aa\LOCALS~1\Temp\wooolinit.dat
C:\DOCUME~1\aa\LOCALS~1\Temp\elementgj.dll
C:\DOCUME~1\aa\LOCALS~1\Temp\WowInitcode.dat
C:\WINDOWS\Fonts\yfzzytcw.dll
C:\WINDOWS\Fonts\haxmtsdn.dll
C:\WINDOWS\Fonts\hwlzqoel.dll
C:\WINDOWS\Fonts\ebdaatvq.dll
C:\WINDOWS\Fonts\yvkwrpck.dll
C:\WINDOWS\Fonts\ydvcunls.dll
C:\WINDOWS\Fonts\pjfyqetz.dll
C:\WINDOWS\Fonts\sbksddva.dll

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。

运行usp10.dll扫描清理工具扫描电脑，并继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。
尽量反复检测几遍。
———————————————————————
可以这贴里找相同系统里的userinit.exe文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

用工具包内的“SmtRpl替换文件工具”（有使用说明）
将C:\WINDOWS\system32\userinit.exe替换回正常的系统文件.
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击后跳出的界面里的“常规”项内点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
当扫描usp10.dll扫描清理工具提示重启电脑时

再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

天月来了 - 2009-2-13 12:54:00

其中我要你删除的文件中，下面三个第一次见，不知道是什么，等你提取文件后再看吧
C:\WINDOWS\system32\friend.dll
C:\WINDOWS\ini\xxx.vbs
C:\WINDOWS\system32\TmmdtmD.dll

记住呀，文件的提取很重要，可能有部分文件瑞星还没加库呢

天月来了 - 2009-2-13 12:57:00

还有日志中竟然没法找个你安装在其他盘的程序目录提取usp10.dll文件以及你的QQ目录内的psapi.dll文件

010225 - 2009-2-13 13:05:00

谢谢，我现在下载去试一下。

天月来了 - 2009-2-13 13:18:00

我晕死

破论坛屏蔽英文单词

下面图中所示的文件

你需要自己手工输入正确的路径信息删除了

010225 - 2009-2-13 13:21:00

版主，你说的前面2个文件能提出来，但后面所有的文件提取时都会提示“提取出错”，无法提取。而且只能单一文件提取

天月来了 - 2009-2-13 13:38:00

你用那提取工具不是一次性全部复制粘贴进去？？？

你是傻傻的一个一个操作的？？？

不会吧？？？

我不是说了嘛，不论提取结果如何，继续其他操作嘛

天月来了 - 2009-2-13 13:39:00

你的C:\WINDOWS\system32\userinit.exe文件被病毒替换了

如果你不断网处理，永远没法清理光的

010225 - 2009-2-13 13:41:00

晕，全部复制我当然知道，还不是想全部提取出来让你们分析。但超过1个复制就提取错误，到了第3个文件就也提取错误了。所以没办法，我不管这些了，全部删除了。

010225 - 2009-2-13 13:42:00

谢谢，已经解决了，谢谢版主，但那些文件没法提取，只有前面2个文件，版主还要么？

天月来了 - 2009-2-13 13:47:00

要
唉不管了
有几个要几个

天月来了 - 2009-2-13 13:49:00

如果你是用XDELBOX删除成功的，那么这工具内有个文件夹

里面就是删除的病毒文件的备份，全在里面

你压缩发我

jan0 - 2009-2-13 14:01:00

可以试试用IceSword、wsyscheck试试提取哦~~~

天月姐~！“常系统文件备份”包是时候更新一下了~~

天月来了 - 2009-2-13 14:09:00

8懂你说的虾米东西:default3:

jan0 - 2009-2-13 14:11:00

userinit.exe给调换了~它的扫描日志怎么还会出现“(Verified)”这词的呀？？虽然后面少了“Microsoft Windows Publisher”...

aaccbbdd - 2009-2-13 14:12:00

lqqk7那顶置帖里的系统文件

jan0 - 2009-2-13 14:18:00

引用:

原帖由 天月来了 于 2009-2-13 14:09:00 发表
8懂你说的虾米东西:default3:

那备份包是lqqk7大斑竹说是你提议的吗~~又发不了短消息给你们~只能在这里跟你们说说罗~~:default6:

天月来了 - 2009-2-13 14:43:00

你学会同时看进程呀:default3:

还有那文件包我联系不到lqqk7

010225 - 2009-2-13 15:12:00

呵呵，不好意思，系统清理重启后，xde那个软件的备份空了，现在只有部分传给你，在第2个附件里。晕，那哥们用瑞星查出几百个病毒，把病毒当宠物在养，害苦了我们这些人啊！

jan0 - 2009-2-13 15:22:00

引用:

原帖由 天月来了 于 2009-2-13 14:43:00 发表
你学会同时看进程呀:default3:

还有那文件包我联系不到lqqk7

看了不少你们的文章~有点小进步~~马马虎虎还能看出那些进程给替换了:default5:

还有那个进程包帮过我好几回了~~很使用的说~！:default6:

Worship高手 - 2009-2-13 15:39:00

Trojan.PSW.Win32.LMir.cfs 怎么这个毒杀不了重装系统电脑上还有着急啊那位高手出个办法啊

RisingCSC - 2009-2-13 15:43:00

一楼上传的文件已收集，有结果会给回复。

天月来了 - 2009-2-13 15:45:00

自己开新贴求助

Worship高手 - 2009-2-13 15:57:00

开了

RisingCSC - 2009-2-16 9:18:00

1、文件名：wooolinit(2).dat

病毒名：Trojan.PSW.Win32.GameOL.urk

2、文件名：elementgj.dll

病毒名：Trojan.PSW.Win32.GameOL.urk

3、文件名：wooolinit.dat

病毒名：Trojan.PSW.Win32.GameOL.urk

4、文件名：WowInitcode(2).dat

病毒名：Trojan.PSW.Win32.GameOL.urk

5、文件名：WowInitcode.dat

病毒名：Trojan.PSW.Win32.GameOL.urk

6、文件名：elementgj(2).dll

病毒名：Trojan.PSW.Win32.GameOL.urk

7、文件名：friend(2).dll
不是病毒

8、文件名：friend.dll
不是病毒

9、文件名：ArFile.log
不是病毒

您所上报的病毒文件将在瑞星2009的21.16.50版本中处理解
决，如遇特殊情况可能会推后几个版本。

瑞星卡卡安全论坛