瑞星卡卡安全论坛

每个盘下面都有1.EXE和autorun文件，并且瑞星监控也被屏蔽了？？用了文件夹病毒专杀也没有用。。。

安全模式下的扫描日志在附件中，请各位帮忙看看，谢谢了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; CIBA; MAXTHON 2.0)

附件: SREngLOG.log

先调戏以下文件：
教你怎么调戏
http://bbs.ikaka.com/showtopic-8628451.aspx

C:\WINDOWS\phpi.dll
C:\WINDOWS\system32\contmenu.dll

替换以下文件：【在2楼】

[PID: 752 / a][C:\WINDOWS\explorer.exe]  [, 1, 0, 0, 1]


不想调戏的话：
引用:
费尔木马文件删除工具
内附操作说明图。（Vista SP1下可以运行）

附件: 费 尔.rar (2009-1-18 9:40:44, 270.65 K)
该附件被下载次数 4972





引用:
超级巡警暴力文件删除工具
内附操作说明图。（Vista SP1下文件删除后可能会出现报错，但文件已经正常删除）

附件: 超级巡警文件删除器.rar (2009-2-15 16:16:29, 198.88 K)
该附件被下载次数 969





引用:
删除文件工具XDELBOX
内附操作说明。（Vista SP1下不支持DOS删除，可以延迟删除 ）

附件: XDelBox.rar (2008-11-16 14:53:16, 1011.35 K)
该附件被下载次数 12454

附件: XDelBox1.8剑盟版.rar (2009-5-1 15:00:22, 1024.58 K)
该附件被下载次数 90





引用:
删除文件工具SmtDel
内附操作说明图：（Vista SP1下暂时只有普通删除和延时重启删除能力）

附件: SmtDel.rar (2009-2-13 17:33:19, 760.19 K)
该附件被下载次数 1034





引用:
删除文件工具EasyDelete
内附说明图 （Vista SP1下可以正常运行）

附件: EasyDelete.rar (2009-2-10 9:55:02, 128.33 K)
该附件被下载次数 591


附件: explorer.rar

好的，感觉比较专业啊，我试着弄一弄吧。感谢了。

这些工具都需要下载？？

下一个就行
看着哪个顺眼下哪个

好的，多谢，就下第一个。
有问题再联系您。

这个需要我自己手动删除啊。
但是有好多系统文件被感染了，我没法一个一个找到啊？
该怎么办？

删了1.exe并抑制了，但是它又生成了一个1.exe文件夹
真是无语了。。。
这该咋办？

那是生成的极品免疫文件:kaka6:

下一步：
替换explorer.exe
（附件在2楼）
2楼的那个帖子地址的2楼有说明

那还有药可救吗？？就看您华佗在世了。。

晕
免疫都不知道
就是抑制再生

Ok ！就按照您的来。

哈  我是大菜鸟

已经替换完毕了，接下来怎么办？？

再来个日志

看附件

附件: SREngLOG2.log

在线等您的解答。。感谢了

下面文件需要去删除：
C:\WINDOWS\Fonts\A1FED469.EXE
C:\WINDOWS\Cursors\sever.exe
C:\WINDOWS\System32\ntext\Winspool
C:\WINDOWS\66aa5888.dat
C:\DOCUME~1\a\LOCALS~1\Temp\~4d65fd.tmp

日志中C:\WINDOWS\system32\ntext\winsock2.dll文件异常

也就是这项异常：
==================================
Winsock 提供者

我是实在难以帮你的了，挠头，不知道怎么弄才好，你可以用SRENG工具修复安全模式，进安全模式下修复Winsock试试

你的桌面程序不知道为什么还是在C:\WINDOWS\temp\文件夹里。

就是C:\WINDOWS\TEMP\EXPLORER.EXE文件了。

它应该呆在C:\WINDOWS\文件夹里的。

还有下面这文件C:\WINDOWS\system32\contmenu.dll不知道是什么了

因为各盘存在1.exe

所以你很可能其他盘的所有.exe文件已被感染

需要你升级杀毒软件全盘杀了

版主好，我删除时，是不是需要用“费尔”软件删除并同时抑制再生？还是简单删除就行？

还有下面这段话是针对的我的吗？？
“==================================
Winsock 提供者

我是实在难以帮你的了，挠头，不知道怎么弄才好，你可以用SRENG工具修复安全模式，进安全模式下修复Winsock试试

你的桌面程序不知道为什么还是在C:\WINDOWS\temp\文件夹里。

就是C:\WINDOWS\TEMP\EXPLORER.EXE文件了。

它应该呆在C:\WINDOWS\文件夹里的。

还有下面这文件C:\WINDOWS\system32\contmenu.dll不知道是什么了 ”

对呀
不和你说

我和谁念叨那些呢:kaka6:

C:\WINDOWS\TEMP\EXPLORER.EXE
被那个1.exe恶搞的
它先把正常的放到C:\WINDOWS\TEMP\
然后再从C:\WINDOWS\建立一个病毒文件

C:\WINDOWS\TEMP\EXPLORER.EXE
如果从文件大小来看，这个文件也是不正常的。

以后不管它跑哪文件夹

干脆重找新的换掉算了

我找不到C:\WINDOWS\Fonts\A1FED469.EXE
                  C:\DOCUME~1\a\LOCALS~1\Temp\~4d65fd.tmp
另外我需要用“费尔”软件删并抑制再生，还是简单删除就行了
同时在C:\DOCUME~1\a\LOCALS~1\Temp\中发现了1.exe

您好，感谢回复。
按照您的意见，看了第二个日志后，接下来该咋办？？

C:\WINDOWS\Fonts\A1FED469.EXE
C:\WINDOWS\Cursors\sever.exe
C:\WINDOWS\System32\ntext\Winspool
C:\WINDOWS\66aa5888.dat
C:\DOCUME~1\a\LOCALS~1\Temp\~4d65fd.tmp
C:\WINDOWS\TEMP\EXPLORER.EXE

这几个文件，找超级巡警去删除去，工具贴里找

至于桌面程序位置问题

下载我下面的附件，运行替换以一下吧

附件: XPSP2.rar (2009-5-30 10:41:32, 426.11 K)
该附件被下载次数 211

至于日志中C:\WINDOWS\system32\ntext\winsock2.dll文件异常

也就是这项异常：
==================================
Winsock 提供者

我是实在难以帮你的了，挠头，不知道怎么弄才好，你可以用SRENG工具修复安全模式，进安全模式下修复Winsock试试

总之这C:\WINDOWS\system32\ntext\winsock2.dll文件不解决，可能还会继续下载病毒，但是删除它，又可能不能连网。

修复Winsock 必须成功，才能继续连网了

C:\DOCUME~1\a\LOCALS~1\Temp\~4d65fd.tmp
这个文件找不到，其他都删了

新日志发上来看看

在执行上述操作之后，以带网络链接的安全模式进了重启，下面是重启之后的日志：

附件: SREngLOG3.log