瑞星卡卡安全论坛

如题，开机后.txt自动运行，记事本程序显示一堆乱码。进程中出现大量数字进程，后缀为.txt。估计是盗号木马之类，曾弹出类似qq系统消息的提示。

瑞星、360被屏蔽，regedit无法启动，冰剑，sreng都是在更换名称后才可以运行。但icesword无法杀除注册表中病毒项。

附件: SREngLOG.log (2009-2-16 22:52:46, 73.71 K)
该附件被下载次数 191

请楼主按下面几步操作...

1到下面这个帖子里面下载映像劫持工具..具体在1楼"可以点击下载这个工具删除"这一行..先运行修复系统
http://bbs.ikaka.com/showtopic-8545446.aspx

2下载下面这个专杀..先杀遍毒...
http://www.duba.net/zhuansha/263.shtml

3重启后重新扫一遍日志传上来...

因为病毒比较多..希望楼主可以配合一下..谢谢...

谢谢。刚注册的通行证找不到了，换个名。
明天再试。台式机中了毒，用笔记本上网求助。来回折腾费时间。

我知道了病毒名称：用u盘来回拷文件，染上了毒，被笔记本的norton 发现并清除，提示为：Trojan.killAV

http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2002-071813-0943-99&tabid=1

好的这个病毒比较厉害..u盘一定要禁用自动运行,并查毒..你的笔记本最好也能传下日志..看看是否被传染了..

aryda你好，首先把笔记本的sreng log上传

附件: SREngLOG.log (2009-2-17 21:23:36, 47.55 K)
该附件被下载次数 136

另外，我正按照sreng说明和下面站点尝试手动杀毒
http://www.spywareremove.com/removeTrojanKillAV.html

病毒很强大，sreng中，<AppInit_DLLs>值编辑后，仍存在。安全模式下更好吧？正常启动，windows加载个人设置状态，就走不下去了

台式机那病毒现在称为猫藓..可以重网络下载木马群的...是比较麻烦..只要能运行sreng和那个金山的专杀就可以...你先清理一遍好了发个新的日志...后面的杀毒过程还稍微有点麻烦..

笔记本没被传染到..不过还是要小心..这病毒一旦染上清除过程挺繁琐的..

请下下面这个软件,后面杀毒时用得到的.
http://bbs.ikaka.com/attachment.aspx?attachmentid=446806

呵呵。  是一个木马群下载器。
我今天杀了很多。
安全模式进不了
建议用第三方任务管理器 结束病毒进程。
  用卡巴杀。
卡巴可以杀出的。

shit！sreng好似永远杀不完那些app和多出的混进程，IFEO也有几十个。
毒霸专杀不能正常安装，一半就发生错误，”delete file 失败，代码5“
可恨之极！

卡巴如何操作？具体点？

传个新日志吧...楼主动手能力很强嘛.....手动杀应该也挺有自信的..

附件: SREngLOG.log (2009-2-17 22:35:52, 122.29 K)
该附件被下载次数 108

以前手动杀过几次，挺享受那个过程。可这个病毒是有些难缠！

下面的操作需断网进行..请先下好xdelbox,映像劫持修复工具,SmtRpl和系统备份文件
sp2的下载在2楼.SmtRpl也在里面了
http://bbs.ikaka.com/showtopic-8417665.aspx
映像劫持修复工具
[url=showtopic-8545446.aspx]http://bbs.ikaka.com/showtopic-8545446.aspx[/url]


1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


C:\WINDOWS\Fonts\blhenbbu.dll 
C:\WINDOWS\system32\ar12A403dll.dll 
C:\WINDOWS\system32\iankemfe.dll 
C:\WINDOWS\system32\eleigbng.dll 
C:\WINDOWS\system32\gngljajb.dll 
C:\WINDOWS\system32\bgjceaim.dll 
C:\WINDOWS\system32\bgneifmh.dll 
C:\WINDOWS\system32\oacbghgc.dll 
C:\WINDOWS\system32\kmabpglf.dll 
C:\WINDOWS\system32\apblaied.dll
C:\WINDOWS\system32\apmomfgf.dll 
C:\WINDOWS\system32\mjikjgin.dll
C:\WINDOWS\system32\eeiddajc.dll 
C:\WINDOWS\system32\enhglfpe.dll 
C:\WINDOWS\system32\ghpeafdm.dll 
C:\WINDOWS\system32\daoladem.dll 
C:\WINDOWS\system32\hgemhcab.dll
C:\WINDOWS\system32\gjuadf.dll
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\Nskhelper2.sys
C:\WINDOWS\system32\drivers\pnpmem.sys
C:\WINDOWS\system32\drivers\vhwtzzp.sys
C:\Program Files\Internet Explorer\BoboNt.jsp
C:\WINDOWS\system32\ar12A403dll.dll
C:\Program Files\Internet Explorer\BoboNet.jsp
C:\WINDOWS\fonts\ctm15002.ttf
C:\WINDOWS\system32\aliente32.dll
C:\WINDOWS\TEMP\elementzx.dll
C:\WINDOWS\system32\appwinproc.dll
C:\WINDOWS\TEMP\WowInitcode.dat


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
    {2EEEDBE8-79F4-4CAE-B6D9-2E63A7B680FA}
    {5A041F13-A111-12A4-B0CF-F99818AA68A5}
    {2A74E6FE-AA20-42E7-A9C5-AD48ADEF9467}
    {E5E20B70-E83E-42D1-9F8E-A1381F6932C5}
    {07053A3B-C843-4B4D-B800-4BDA1FB8CABC}
    {B03CEA26-93E0-40A1-84B7-3654FECD7ADD}
    {B07E2F61-E3FB-4F01-9808-B5041B200162}
    {8ACB010C-D06A-455A-B6AA-EB221008225F}
    {46AB905F-3177-4D36-981B-B6EDD0BE212C}
    {A9B5A2ED-2F0B-479A-9C56-66256FB171E3}
    {A9686F0F-D435-4D6C-8DF4-0F062522B536}
    {63243027-DF28-4F98-9A1F-344C64035B17}
    {EE2DDA3C-58D1-48A8-BCE3-0AF49318A496}
    {E7105F9E-2FE6-484B-93BB-54C16277F39B}
    {019EAFD6-9F0B-4C8E-8376-DBBD7DB4CD90}
    {DA85ADE6-C76D-4AFE-AD6E-939536AF525D}
    {10E61CAB-4F3C-49E0-879D-19F663162D2F}

    <46AB905F>
    <2A74E6FE>
    <B07E2F61>
    <8ACB010C>
    <A9B5A2ED>
    <A9686F0F>
    <63243027>
    <EE2DDA3C>
    <E7105F9E>
    <019EAFD6>
    <DA85ADE6>
    <10E61CAB>
    <E5E20B70>
    <07053A3B>
    <B03CEA26>
    <C:\WINDOWS\Fonts\blhenbbu.dll>

注意该项[AppInit_DLLs]修改：把<bgjceaim.dll,daoladem.dll,gngljajb.dll,ghpeafdm.dll,enhglfpe.dll,eeiddajc.dll,mjikjgin.dll,hgemhcab.dll,apblaied.dll,oacbghgc.dll,iankemfe.dll,kmabpglf.dll,eleigbng.dll,apmomfgf.dll,bgneifmh.dll> 修改为<>即清空

  启动项目 －－ 服务--服务之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


  [wtqgzh / wtqgzh]  <C:\WINDOWS\system32\svchost.exe -k wtqgzh-->%SystemRoot%\System32\gjuadf.dll><N/A>

  启动项目 －－ 服务--驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[acpidisk / acpidisk] <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[aliimz / aliimz]    <System32\Drivers\aliimz.sys>


[NsPsDk00 / NsPsDk00]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>
[NsPsDk03 / NsPsDk03]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>

[NsDlRK250 / NsDlRK250]  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>

[hujrpd / hujrpd]  <\SystemRoot\system32\drivers\vhwtzzp.sys><N/A>

[pnpmem / pnpmem]  <\??\C:\WINDOWS\system32\drivers\pnpmem.sys><N/A>


系统修复--浏览器加载项之如下项删除：
找clsid项中的
  {5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\WINDOWS\system32\ar12A403dll.dll, N/A>

{218FAED2-CAD1-47E9-B7CC-D4885854F8C1} <C:\Program Files\Internet Explorer\BoboNt.jsp, N/A>

{CF665CAF-91F2-4079-AAFB-7DB8F9F63120} <C:\Program Files\Internet Explorer\BoboNet.jsp, N/A>

{218FAED2-CAD1-47E9-B7CC-D4885854F8C1} <C:\Program Files\Internet Explorer\BoboNt.jsp, N/A>

{5A041F13-A111-12A4-B0CF-F99818AA68A5} <C:\WINDOWS\system32\ar12A403dll.dll, N/A>

{CF665CAF-91F2-4079-AAFB-7DB8F9F63120} <C:\Program Files\Internet Explorer\BoboNet.jsp, N/A>


3 全盘查找usp10.dll 把除了下面3个位置外找到的usp10.dll删除
C:\WINDOWS\System32\usp10.dll
C:\WINDOWS\System32\dllcache\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\usp10.dll

4 用SmtRpl替换文件工具替换下面几个文件
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\System32\COMRes.dll

5用映像劫持修复工具修复.

6重装瑞星和QQ..QQ是一定要重装的..连网后瑞星升级到最新全盘杀毒.

7清理助手下载 http://www.arswp.com/download.html
安装后，升级清理助手，全盘扫描
清理系统

完成后请发新的日志..一般第一次操作多少会有点遗漏...需要确认一下..

看来今晚还要放他一马。xdelbox杀不干净，难道病毒具有自适应的变身能力？好在病毒浓度降低，毒霸专杀工具可以运行，但最终还是被病毒终止

那上面的操作，全部得在断网状态下操作才行

上传新的sreng扫描日记。病毒基本杀除，IFEO映像劫持还没搞定，177项，使用了下载的管理、清除工具。但终于开始恢复阶段了，50%工作量？替换、重新安装，亡羊补牢，真是麻烦！

谢谢帮助

附件: SREngLOG-delvirus.log (2009-2-18 23:18:41, 71.71 K)
该附件被下载次数 76

IFEO映像劫持  先搞定了在说。。
看的头晕。。

附件: 映像劫持修复工具.rar

俺更晕，用了N多遍的结果还是收拾不好。检查到177项，全部清除。再检查，仍然又是177项！又是修复工具、又是管理工具，都一样没解决

清除的效果不错...好像有2个漏了出来..楼主再接再厉..映像劫持这个不要紧的..删了病毒再处理就好..

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)原创软件里面 http://www.dodudou.com/down/index.php
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\drivers\vhwtzzp.sys
C:\WINDOWS\system32\drivers\bgufw.sys
C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll
C:\WINDOWS\system32\appwinproc.dll


启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[bguf / gqzzinj]
[hujrpd / hujrpd]
[NsDlRK250 / NsDlRK250]
[NsPsDk00 / NsPsDk00]
[NsPsDk01 / NsPsDk01]
[NsPsDk02 / NsPsDk02]
[NsPsDk03 / NsPsDk03]
[NsPsDk04 / NsPsDk04]

后面的步骤一样
3 全盘查找usp10.dll 把除了下面3个位置外找到的usp10.dll删除
C:\WINDOWS\System32\usp10.dll
C:\WINDOWS\System32\dllcache\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\usp10.dll

4 用SmtRpl替换文件工具替换下面几个文件
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\System32\COMRes.dll

5用映像劫持修复工具修复.

6重装瑞星和QQ..QQ是一定要重装的..连网后瑞星升级到最新全盘杀毒.

7清理助手下载 http://www.arswp.com/download.html
安装后，升级清理助手，全盘扫描
清理系统

完成后请发新的日志..一般第一次操作多少会有点遗漏...需要确认一下..

附件: SREngLOG-finshed.log (2009-2-19 0:23:05, 34.11 K)
该附件被下载次数 83

另外一个IFEO恢复工具，供参考

附件: 1183973292980.rar (2009-2-19 0:23:05, 71.07 K)
该附件被下载次数 115

好像nspassx.sys又出来了。还得消灭它！

呵呵..个人觉得清理的差不多了..日志变化很大呢...

前面19楼提到的那几个驱动程序sreng里找不到吗?如果看得到就删了..看不到就算了..文件删掉应该没事的...

瑞星有毛病的话修复一下就好..不知楼主现在觉得机子怎么样..还有什么不对劲的不?

C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll 应该是micrisoft的手机同步软件用的，网上查了，不算是spyware。保留？其他的删除了

再上传一份log

附件: SREngLOG-finshed2.log (2009-2-19 0:58:32, 37.06 K)
该附件被下载次数 106

host文件多了许多，不懂。

我也感觉差不多了。3个晚上，制造传播者甚是可恶！辛苦了你们这样的守护神！魔高一尺，道高一丈！加油！

恩..这个日志十分干净..驱动里面有个尾巴..不知道是不是新装软件的缘故
[48812 / 48812]
  <2 - 系统找不到指定的文件。
><N/A>

我也是来这学习的..希望楼主以后学习工作顺利呵呵..