瑞星卡卡安全论坛

小弟查看了这个http://bbs.ikaka.com//showtopic-8614587-1.aspx,

已经用QQ医生扫描系统,扫描之后的日志在在附件,也用修改过的2.4版的SRENG扫描了一个日志传上来...求大能帮忙解决,谢谢!

附件: SREngLOG.log (2009-4-22 7:17:05, 126.40 K)
该附件被下载次数 175

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件: xeex.jpg

附件: 系统扫描.txt

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

不论提取结果如何，压缩发来看看

然后再去我置顶工具贴找费尔和超级巡警抑制再生删除下面文件：

C:\WINDOWS\system32\ChwAgu.dll
C:\WINDOWS\fonts\MbYd9jxUHkYS.fon
C:\Program Files\Internet Explorer\PowerJa.ask
C:\WINDOWS\system32\JZZ.dll
C:\WINDOWS\system32\SHH.dll
C:\WINDOWS\system32\updater.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys
C:\WINDOWS\system32\drivers\djwvm.syss
C:\Program Files\Internet Explorer\PowerJa.ask
C:\Program Files\Common Files\PushWare\cpush.dll
C:\WINDOWS\system32\ETT.dll
C:\WINDOWS\system32\MBB.dll
C:\WINDOWS\fonts\MbYd9jxUHkYS.fon
C:\WINDOWS\system32\efc0c52cc1.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SysDir.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\elementzx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msfsdafdsae.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\elementgj.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jxinit.dat
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\fonts\CESPVP8FQd.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xccs.dll
C:\WINDOWS\fonts\Xgv7TbnvD3yvn.fon
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\ed78ab9.dll
C:\sysinit.dat
C:\WINDOWS\system32\CCCA2FB9.dll
C:\WINDOWS\system32\phvqdkuu.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\pkn.dll
C:\WINDOWS\system32\bwz.dll
C:\WINDOWS\system32\ufQCU5.dll
C:\WINDOWS\system32\2EF0D734.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\64296_xeex.exe
C:\WINDOWS\system32\aa06a.exe
C:\WINDOWS\system32\aa07.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\77718_xeex.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\86328_xeex.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\103500_xeex.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\114718_xeex.exe
C:\WINDOWS\system32\phvqdkuu.dat

然后重启电脑，用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

安装杀毒软件，升级后全盘杀毒

呃,天月大大,文件批量提取工具一运行就删除掉了,木有了

那你这样，下载文件管理工具

一个一个找文件复制备份来吧

http://bbs.ikaka.com/attachment.aspx?attachmentid=502717

我需要文件，你如果实在嫌麻烦，也可以选择直接去删除算了

那你就删除吧，不找算了。

用超级巡警删除

提取工具已经更新

不会再被删除了

可以运行了

更新后的提取文件工具弹出窗口提示:提取文件错误!:default11:

超级巡警提示:文件删除失败

不论提取结果如何，压缩发来看看

这几个汉字，你又没看？？？？

我发现无数求助的不喜欢看中文:default3:

既然已经执行删除，那么重启电脑，再来日志我看

:kaka12: 哈哈哈，貌似跟我遇到的一样，我那个进程就在进程表里见过一次，后来没了，不过遇到的情况跟楼主一样，有些系统工具的执行文件会被删除:kaka12:

quote] 原帖由 在线求帮忙 于 2009-4-22 10:05:00 发表

呃,我提取结果发的时候结果说大于该类型附件的字节数

老大

你到底给我不给我文件哟:default2:

分批搞么。。。

这个是删除后的日志~~

附件: SREngLOG1.log (2009-4-22 10:10:42, 132.52 K)
该附件被下载次数 123

提取文件后的压缩卷

附件: 备份文件夹.part01.rar (2009-4-22 10:15:14, 1423.5 K)
该附件被下载次数 144

附件: 备份文件夹.part02.rar (2009-4-22 10:15:14, 1423.5 K)
该附件被下载次数 137

附件: 备份文件夹.part03.rar (2009-4-22 10:15:14, 1423.5 K)
该附件被下载次数 145

附件: 备份文件夹.part04.rar (2009-4-22 10:15:14, 1423.5 K)
该附件被下载次数 217

附件: 备份文件夹.part05.rar (2009-4-22 10:15:14, 328.25 K)
该附件被下载次数 167

呃,删除重启之后Arswp还是不能用,还是消失不见

再次用超级巡警，抑制生删除下面文件

C:\WINDOWS\system32\updater.exe
C:\WINDOWS\fonts\MbYd9jxUHkYS.fon
C:\Program Files\Internet Explorer\PowerJa.ask
C:\WINDOWS\system32\JZZ.dll
C:\WINDOWS\system32\SHH.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys
C:\WINDOWS\system32\drivers\djwvm.syss
C:\WINDOWS\system32\ETT.dll
C:\WINDOWS\system32\MBB.dll
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\56BC86C7.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SysDir.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\elementzx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msfsdafdsae.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\elementgj.dll
C:\WINDOWS\system32\BMsg6pdMD4ht.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jxinit.dat
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\peV7mS4gcukR.dll
C:\WINDOWS\fonts\CESPVP8FQd.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xccs.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\ed78ab9.dll
C:\sysinit.dat
C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll
C:\WINDOWS\system32\CCCA2FB9.dll
C:\WINDOWS\system32\mgudmkfb.dat
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\VnTU2WAqUcZA6.dll
C:\WINDOWS\system32\ufQCU5.dll
C:\WINDOWS\system32\sFp9MGAh.dll
C:\WINDOWS\system32\mtlrd.dll
C:\Program Files\Tencent\QQ\ezcjqr.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp

超级巡警启动之后提示初始化失败,不管,删除文件,其中C:\Program Files\Internet Explorer\PowerJa.ask是个文件夹,无法选取其中文件,最后提示删除失败.重启

第三份扫描日志:

附件: SREngLOG3.log (2009-4-22 10:51:23, 110.14 K)
该附件被下载次数 121

下载附件到桌面
重启F8看能进安全模式不，能就进，不能就算了

运行EXE，开始处理
机器会自动重启开始清除
询问处选Y


删除完毕安全模式进入系统（不能进就算了）
运行SRENG，高级修复，修复WINSOCK
qq不要再运行了

附件: 1.rar

汗死

你既然没删除成功，还不断发日志干什么？？

早说删除不了呀

我那置顶贴超级巡警下面还有其他删除工具呢

去试试去

或者直接楼上的附件删除吧。

其中C:\Program Files\Internet Explorer\PowerJa.ask是个文件夹,无法选取其中文件,？？？？？

你选取什么？？？？不需要选取吧:default1:

楼上的附件删除之后还是一点用都没有啊

点开始处理，重启进默认菜单
删除后提示什么？

打开SRENG
启动项目-注册表以下删除
<Vagaa><; "C:\Vagaa\Vagaa.exe" -tray>  [N/A]
<stup.exe><; Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [(Verified)Tencent Technology(Shenzhen)

<QQDoctorRTP><; "C:\Program Files\Tencent\QQDoctor\QQDoctorRTP.exe">  [(Verified)Tencent Technology(Shenzhen) Company Limited]
    <stup.exe><; Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [(Verified)Tencent Technology(Shenzhen) Company Limited]
    <updater><; C:\WINDOWS\system32\updater.exe>  [N/A]

    <SbGX><%systemroot%\system32\rundll32.exe %systemroot%\system32\ChwAgu.dll,DllRegisterServer>  []

<{B2E84C04-C03E-4998-B62B-3D3FCBAA7B33}><C:\WINDOWS\fonts\MbYd9jxUHkYS.fon>  []
    <{028A997C-4262-4107-BD46-2ABBC6143E8C}><>  [N/A]
    <{669029EE-81FB-496F-9AC4-FE838B16F231}><>  [N/A]
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><>  [N/A]
    <{7A93621D-BFFE-4EB1-AAE1-CD487F429840}><>  [N/A]
    <{737858A9-9AEA-4838-9B49-54DA731F7F37}><>  [N/A]
    <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><>  [N/A]
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><>  [N/A]
    <{16E42559-9ED5-46FD-878E-DC5D42746BB5}><>  [N/A]
    <{FC8F4603-4AB2-4A0D-B17F-886CC8AAAFD2}><>  [N/A]
    <{B2106E92-8F18-496C-BCA3-DA17DCE5713E}><>  [N/A]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><>  [N/A]
    <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><>  [N/A]
    <{AA4CD878-B510-4508-83EB-DE968E358D15}><>  [N/A]
    <{CCCA2FB9-2D5D-4481-8BFE-1CDDC458A3F4}><>  [N/A]
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><>  [N/A]
    <{0D267113-499A-4EEF-998D-C45731C1B313}><>  [N/A]
    <{C722AD57-35DA-4460-8353-328372F32AB2}><>  [N/A]
    <{71C14A99-FCFD-4ED1-82CF-8C40286778E8}><>  [N/A]
    <{171565E3-F0BB-4FF0-9A42-C9406C79DB78}><>  [N/A]
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><>  [N/A]
    <{08CBFE20-8DC8-4195-B8E2-DD66F860469D}><C:\Program Files\Internet Explorer\PowerJa.ask>  []

  <cxa><C:\WINDOWS\system32\xsv.dll>  []


启动项目-服务-驱动程序以下删除 （弹出的选否）
[mtlrd / mtlrd][Stopped/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys><N/A>
[djwv / zsmuw][Running/Boot Start]
  <\SystemRoot\system32\drivers\djwvm.syss><N/A>

浏览器加载项，以下删除
[]
  {08CBFE20-8DC8-4195-B8E2-DD66F860469D} <C:\Program Files\Internet Explorer\PowerJa.ask, N/A>
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush.dll, >
[]
  {235689AC-3467-EF12-0134-9ACDF0134679} <C:\WINDOWS\system32\ETT.dll, N/A>
[]
  {ABDE0135-CDF0-78AB-89BC-235689BCEF12} <C:\WINDOWS\system32\MBB.dll, Microsoft Corporation>
[]
  {08CBFE20-8DC8-4195-B8E2-DD66F860469D} <C:\Program Files\Internet Explorer\PowerJa.ask, N/A>
[Windows Live 登录帮助程序]
  {9030D464-4C02-4ABF-8ECC-5164760863C6} <C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[Tencent Browser Helper]
  {0C7C23EF-A848-485B-873C-0ED954731014} <C:\Program Files\TENCENT\SSPlus\SAddr.dll, 腾讯>
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush.dll, >
[Windows Genuine Advantage Validation Tool]
  {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\legitcheckcontrol.dll, Microsoft Corporation>
[InformationCardSigninHelper Class]
  {19916E01-B44E-4E31-94A4-4696DF46157B} <C:\WINDOWS\system32\icardie.dll, Microsoft Corporation>
[]
  {235689AC-3467-EF12-0134-9ACDF0134679} <C:\WINDOWS\system32\ETT.dll, N/A>
[SopCore Control]
  {8FEFF364-6A5F-4966-A917-A3AC28411659} <C:\PROGRA~1\SopCast\sopocx.ocx, SopCast.com>
[Windows Live 登录帮助程序]
  {9030D464-4C02-4ABF-8ECC-5164760863C6} <C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[AUDIO__MP3 Moniker Class]
  {CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Windows Live 登录控制]
  {D2517915-48CE-4286-970F-921E881B8C5C} <C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[]
  {E1771B7F-98BE-407F-BA67-AA16ADA5D0C5} <C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGSC1~1.DLL, Microsoft Corporation>
[TimwpDll.TimwpCheck]
  {ED4CA2E5-0EEA-44C1-AD7E-74A07A7507A4} <C:\PROGRA~1\Tencent\QQ\Timwp.dll, TENCENT>


这贴里找userinit文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

使用SmtRpl工具进行相关文件替换，
http://bbs.ikaka.com/showtopic-8561436.aspx

再附件处理

附件: 2.rar

照你刚才的操作一遍之后,不到俩分钟之后又复发..好象是删除的不干净， 很多文件都是提示不存在

执行1,rar之后,再运行sreng2.exe高级修复之后,电脑能正常俩分钟.但是马上木马继续存在,不过没以前那么大影响了

再上传下新日志
文件太多，难免有疏漏