中了一个叫新病毒的东西，几个软件不能用了。高手帮帮忙，附日志 bbs.ikaka.com

tgl301 - 2009-4-16 21:24:00

这样可以吗

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

附件: SREngLogEm.LOG

happysunday2003 - 2009-4-16 21:32:00

C:\WINDOWS\TEMP\EXPLORER.EXE
不正常
我觉得楼主应该具体描述下情况

tgl301 - 2009-4-16 21:32:00

是直接删掉就行吗？

tgl301 - 2009-4-16 21:34:00

现在症状没有什么死机，重启的症状，就是很多应用软件已经被感染不能用了

tgl301 - 2009-4-16 21:37:00

SREng也不能用，只能后台生成扫描文件

networkedition - 2009-4-16 21:37:00

系统的explorer.exe被替换了，将C:\WINDOWS\TEMP\EXPLORER.EXE拷贝到c:\windows目录下进行替换。可使用置顶帖的替换工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=460942
将C:\WINDOWS\system32\services.exe和C:\WINDOWSaboy.dll打包发送至可疑文件交流区鉴定。

networkedition - 2009-4-16 21:40:00

用这个文件提取工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
将C:\WINDOWS\system32\services.exe和C:\WINDOWSaboy.dll打包发送至可疑文件交流区鉴定。

tgl301 - 2009-4-16 21:53:00

还有一个问题：
C:\WINDOWS\TEMP\EXPLORER.EXE是正常的系统文件吧，是不是把这个文件拷贝的替换程序目录下，然后进行替换？谢谢

tgl301 - 2009-4-17 13:21:00

将C:\WINDOWS\system32\services.exe和C:\WINDOWSaboy.dll打包发送至可疑文件交流区鉴定。
鉴定完了，是病毒，是直接删掉就可以了吗？

天月来了 - 2009-4-17 13:26:00

C:\WINDOWS\system32\services.exe不能删除

删除就死了

帅哥阿福 - 2009-4-17 13:26:00

提交至可疑文件交流区，鉴定完成后，瑞星自然会添加到病毒库中的，届时升级瑞星杀毒就可以了。
瑞星杀毒除了可以清除病毒外，瑞星后处理功能还可以修复病毒造成的系统修改。

天月来了 - 2009-4-17 13:41:00

C:\WINDOWSaboy.dll文件需要删除。

C:\WINDOWS\TEMP\EXPLORER.EXE文件确实是你系统正常文件

C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\ntfrs.exe
C:\WINDOWS\system32\services.exe

这三文件可能需要一次性替换为正常的系统文件

你下面的三驱动，我不认识，不能为你确定
==================================
驱动程序
[qd2smi10y / qd2smi10yk][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\qd2smi10yk.sys><N/A>

[SENSE3 / SENSE3][Running/Auto Start]
<system32\drivers\sense3.sys><Beijing Senselock>

[ss7w9kk / ss7w9kk][Stopped/Auto Start]
<\??\C:\WINDOWS\System32\drivers\ss7w9kk.sys><N/A

tgl301 - 2009-4-17 13:42:00

C:\WINDOWS\system32\services.exe不能删除，那怎么办啊？

tgl301 - 2009-4-17 13:45:00

鉴定结果：
瑞星杀毒软件病毒库版本21.25.34
Trojan.Win32.FakeMS.bm services.exe
Trojan.DL.Win32.Mnless.cwr WINDOWSaboy.dll
Trojan.Win32.FakeMS.bm services.exe怎么处理啊？

天月来了 - 2009-4-17 13:47:00

我在12楼回你了

tgl301 - 2009-4-17 13:57:00

C:\WINDOWS\System32\ntfrs.exe
C:\WINDOWS\system32\services.exe需要替换。
那对应以上两个文件的正常系统文件在哪里啊？我的把它拷贝到替换工具文件夹下才能替换啊

tgl301 - 2009-4-17 13:58:00

==================================
驱动程序
[qd2smi10y / qd2smi10yk][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\qd2smi10yk.sys><N/A>

[SENSE3 / SENSE3][Running/Auto Start]
<system32\drivers\sense3.sys><Beijing Senselock>

[ss7w9kk / ss7w9kk][Stopped/Auto Start]
<\??\C:\WINDOWS\System32\drivers\ss7w9kk.sys><N/A
这些我也不认识，你就当病毒吧，麻烦你告诉我怎么处理

天月来了 - 2009-4-17 14:11:00

驱动那个我不知道

不说了

至于替换文件，你不会到现在还没学会吧？？？

tgl301 - 2009-4-17 14:21:00

:default3: 我昨天学的啊，我是新手。帮帮吧，万分感谢

天月来了 - 2009-4-17 14:27:00

你是这样的系统：
Windows XP Home Edition Service Pack 2

我找不到相同文件，你有过这系统的ghost备份么？？

tgl301 - 2009-4-17 14:30:00

没有备份过。
估计是解决不了吧，就这样吧。反正现在还不影响工作。谢谢你的帮忙

天月来了 - 2009-4-17 14:31:00

等会

这要看你是否愿意用其他xpsp2系统的这些文件替换了

如果愿意，也可以帮你，只是这样的替换是没有回头路可走的。

你自己考虑吧

tgl301 - 2009-4-17 14:40:00

那就替吧！
问一下没有回头可走的含义是什么？是如果以后再中毒只能格了对吗？

tgl301 - 2009-4-17 14:41:00

帮我吧，替！

天月来了 - 2009-4-17 14:47:00

没有回头路就是说可能替换后系统进不了

得重装系统了:default3:

tgl301 - 2009-4-17 14:56:00

那不弄了！
现在事挺多，不想格。
万分感谢你！

天云一剑 - 2009-4-17 14:59:00

http://bbs.ikaka.com//showtopic-8417665.aspx
这帖2楼下载正常explorer.exe ntfrs.exe services.exe 3个文件，没有的BAIDU找下载
http://www.dodudou.com/down/index.php?dirpath=./01]http://www.dodudou.com/down/index.php?dirpath=./01]http://www.dodudou.com/down/index.php?dirpath=./01 .原创软件&order=0
这里进去点原创软件下载XDELBOX 1.7,解压到桌面，改名为xdelbox.cmd运行

正常explorer.exe（改名为OK1.EXE）到WINDOW目录，
ntfrs.exe 改名为ok2.exe
services.exe改名为ok3.exe）复制到WINDOWS下的system32 目录,复制如下命令：
C:\WINDOWSaboy.dll
C:\WINDOW\System32\DRIVERS\qd2smi10yk.sys
C:\WINDOW\System32\DRIVERS\ss7w9kk.sys
dos#ren C:\WINDOWS\ok.exe Explorer.exe
dos#ren C:\WINDOWS\system32\ok2.exe ntfrs.exe
dos#ren C:\WINDOWS\system32\ok3.exe services.exe

XDELBOX中勾上所有勾，右键-剪贴板导入不检查路径，导入上面的6行
再右键-立即重启删除

删除重启后

运行SRENG
浏览器加载项，以下删除
[&Google]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} <c:\program files\google\googletoolbar1.dll, N/A>
[TVAnts ActiveX Control]
{4C833081-D026-4FF8-968F-7EAB660D2FBA} <C:\PROGRA~1\TVAntsX\TvantsX.ocx, Zhejiang University>
[KooPlayer Control]
{5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} <C:\WINDOWS\DOWNLO~1\KOOPLA~1.OCX, Koos>
[SopCore Control]
{8FEFF364-6A5F-4966-A917-A3AC28411659} <C:\PROGRA~1\SopCast\ActiveX\SopCore.ocx, >
[Google Script Object]
{00EF2092-6AC5-47C0-BD25-CF2D5D657FEB} <c:\program files\google\googletoolbar1.dll, N/A>
[]
[&Google]
{2318C2B1-4965-11D4-9B18-009027A5CD4F} <c:\program files\google\googletoolbar1.dll, N/A>
启动项目-服务-驱动，以下删除（点删除后再选否）
[qd2smi10y / qd2smi10yk][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\qd2smi10yk.sys><N/A>
[ss7w9kk / ss7w9kk][Stopped/Auto Start]
<\??\C:\WINDOWS\System32\drivers\ss7w9kk.sys><N/A>

天月来了 - 2009-4-17 15:03:00

不管了

我按照xpsp2系统的文件做了替换程序，你自己如果以后还有异常，就选择是否替换吧

附件: XPSP2.rar (2009-4-17 15:03:15, 476.48 K)
该附件被下载次数 235

替换：
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\services.exe

这个C:\WINDOWS\System32\ntfrs.exe文件我不知道是否你那有问题，暂时不管它。

瑞星卡卡安全论坛