瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 打开IE, 卡卡助手老是提示发现可疑后门程序,急!有日志!有可以程序!急等 啊!
Terry2008 - 2009-2-16 10:00:00

用瑞星杀毒没有用,用Windows清理助手也没有效果,急啊,每次都这样。。。请各位老大帮忙了![attachimg]489224[/attachimg]

百事灵回复:楼主是否安装了宏杰加密软件,请在浏览器的管理加载项中禁用宏杰。

附件: SREngLOG.log

附件: SREngLOG-1.log
帅哥阿福 - 2009-2-16 10:05:00
C:\WINDOWS\system32\drivers\h.sys
C:\WINDOWS\system32\drivers\osghrz.sys
C:\DOCUME~1\terryh\LOCALS~1\Temp\_tmp.bat
C:\WINDOWS\system32\drivers\tiandi.ahc
C:\WINDOWS\system32\drivers\u.sys
提交到这里,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml
Terry2008 - 2009-2-16 10:06:00
提交到这里什么意思?谢谢了
帅哥阿福 - 2009-2-16 10:09:00
把可疑文件作为附件上传,会有瑞星工程师定期到这里收集的。
如果是病毒的话,会将其加入到病毒库中,这样,升级瑞星就能清除了。
Terry2008 - 2009-2-16 10:12:00
哦,谢谢了!瑞星扫描没有发现可疑文件,是开IE卡卡老是提示。。。
帅哥阿福 - 2009-2-16 10:17:00
不排除是新变种或者新出的病毒。
文件较可疑,建议提交。
backway - 2009-2-16 10:23:00
使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\drivers\u.sys
c:\windows\system32\drivers\tiandi.ahc
c:\docume~1\terryh\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\osghrz.sys
c:\windows\system32\drivers\h.sys

2.删除重启后使用SREng修复下面各项:

启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[u / u]    <\??\C:\WINDOWS\system32\drivers\u.sys>
[tiandi / tiandi]    <\??\C:\WINDOWS\system32\drivers\tiandi.ahc>
[rolmj / rolmj]    <\??\C:\DOCUME~1\terryh\LOCALS~1\Temp\_tmp.bat>
[osghrz / osghrz]    <\??\C:\WINDOWS\system32\drivers\osghrz.sys>
[h / h]    <\??\C:\WINDOWS\system32\drivers\h.sys>

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手 ,清理系统。
Terry2008 - 2009-2-16 11:06:00
有按照您提供的方法处理一次,但是仍然无改善,请看处理后日志,更新到1楼
backway - 2009-2-16 11:18:00
把卡卡提示的那图截过来。上面那个看不清楚
Terry2008 - 2009-2-16 11:22:00
更新了,请看1楼
云曦 - 2009-2-16 11:33:00
日志没看出什么

打开任务管理器,在“查看——选项列”中勾选“PID”

看看进程号为:3700的进程是什么。
backway - 2009-2-16 11:33:00
这个文件压缩上传。
Terry2008 - 2009-2-16 11:43:00


引用:
原帖由 backway 于 2009-2-16 11:33:00 发表
这个文件压缩上传。


请见附件

附件: iexplore.rar
Terry2008 - 2009-2-16 11:44:00
是iexplore.exe
backway - 2009-2-16 11:48:00
那个文件没问题。。。
你开IE时再扫个sreng日志来吧 ,只有试下了。
Terry2008 - 2009-2-16 11:51:00


引用:
原帖由 backway 于 2009-2-16 11:48:00 发表
那个文件没问题。。。
你开IE时再扫个sreng日志来吧 ,只有试下了。


附件: SREngLOG-2.log
Terry2008 - 2009-2-16 12:45:00
再顶下,急寻解决方法啊。。。谢谢了
backway - 2009-2-16 12:45:00
使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\bdsyslink.dll
c:\windows\system32\bdbho.dll


2.删除重启后使用SREng修复下面各项:

  系统修复-- 浏览器加载项之如下项删除:
[System Link]    <C:\WINDOWS\system32\bdsyslink.dll>
[System Link]    <C:\WINDOWS\system32\bdsyslink.dll>
[prjBDBHO.CBDBHO]    <C:\WINDOWS\system32\bdbho.dll>
Terry2008 - 2009-2-16 15:45:00


引用:
原帖由 backway 于 2009-2-16 12:45:00 发表
使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键


还是不行诶。。。。郁闷啊

附件: SREngLOG-3.log
backway - 2009-2-16 16:03:00
日志没发现其他的了,C:\Winndows\tasks里的计划任务可以取消吧,微软的验证程序。
你把黄山IE修复卸载试试看。
Terry2008 - 2009-2-16 16:43:00


引用:
原帖由 backway 于 2009-2-16 16:03:00 发表
日志没发现其他的了,C:\Winndows\tasks里的计划任务可以取消吧,微软的验证程序。
你把黄山IE修复卸载试试看。


没有改善。。。郁闷,用了下黄山只搞到试用版。。。

不过还是非常感谢了!
backway - 2009-2-16 16:51:00
下载大蜘蛛全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe或者
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
默认的是快速扫描。
Terry2008 - 2009-2-17 7:44:00


引用:
原帖由 backway 于 2009-2-16 16:51:00 发表
下载大蜘蛛全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe或者
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
默认的是快速扫描。


貌似好了,这个是扫描结果,扫了好久 啊,谢谢了,还要下一步的动作么?

附件: DrWeb-1.rar

附件: DrWeb-2.rar
backway - 2009-2-17 10:00:00
汗,你导出来的报告用excel形式干吗?:default3:
现在打开IE卡卡没提示就行了。
Terry2008 - 2009-2-17 10:20:00
郁闷刚才打开又有提示了。。。。,没有改善啊。。。。:default2: :default2:
backway - 2009-2-17 10:29:00
你把大蜘蛛扫描的报告直接以log文件上传。先前传的那2个xls文件看不清楚。
Terry2008 - 2009-2-17 11:22:00
VBAOL11.CHM\html/olobjAddressEntries.htm;C:\Program Files\Microsoft Office\OFFICE11\2052\VBAOL11.CHM;病毒变种 VBS.Generic.205;;
VBAOL11.CHM;C:\Program Files\Microsoft Office\OFFICE11\2052;隔离区包含被传染的对象;已隔离.;
WebThunderInstaller.dll;C:\Program Files\Thunder Network\WebThunder;可能 BACKDOOR.Trojan;;
WebThunderInstaller.dll;C:\Program Files\Thunder Network\WebThunder;可能 BACKDOOR.Trojan;;
dsnav.exe\data052;C:\WINDOWS\system32\dsnav.exe;Adware.Cdn;;
dsnav.exe;C:\WINDOWS\system32;发现压缩文件中有被感染的对象;已隔离.;
A0051128.COM;D:\System Volume Information\_restore{5E3E6D47-0ADA-4365-90EE-15BF25136430}\RP159;Trojan.DownLoad.27996;已删除.;
WebThunderInstaller.dll;C:\Program Files\Thunder Network\WebThunder;可能 BACKDOOR.Trojan;;
人体轻微伤鉴定标准.doc;E:\01 Quaity documents\EHSP\EHS.LAW\OHSMS18001 6Law\标准规范;可能 office.exploit.gen;;
FMS16002.xls;E:\01 Quaity documents\QP\QPS16000-Corrective and Preventive Action Management Procedure;可能 office.exploit.21;;
JPSKB.exe;E:\02 Self management\00 Others;可能 DLOADER.Trojan;;
QC手法 新舊用法簡介(含案例).xls;E:\10 Training\04 QC Tools;可能 office.exploit.16;;
backway - 2009-2-17 11:30:00
关闭D盘系统还原:我的电脑属性——系统还原——关闭D盘系统还原

C:\Program Files\Microsoft Office
C:\Program Files\Thunder Network
C:\WINDOWS\system32\dsnav.exe
E:\01 Quaity documents\EHSP\EHS.LAW\OHSMS18001 6Law\标准规范
E:\01 Quaity documents\QP\QPS16000-Corrective and Preventive Action Management Procedure
E:\02 Self management\00 Others
E:\10 Training\04 QC Tools

这些文件都有 感染,E盘里的那些都是什么东西,U盘拷来的还是怎么来的?
Terry2008 - 2009-2-17 11:48:00
E盘里面都是以前U盘拷过来的
Terry2008 - 2009-2-17 11:49:00
还有我所有盘都关闭系统还原了,接下来怎么办,都删掉?
123
查看完整版本: 打开IE, 卡卡助手老是提示发现可疑后门程序,急!有日志!有可以程序!急等 啊!
© 2000 - 2025 Rising Corp. Ltd.