瑞星卡卡安全论坛

现在在安全模式　扫描的日志上传

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)

附件: SREngLOG3.log

你等会

你这日志显示，你系统原本没有的病毒

现在倒一堆感染型病毒了

怎么回事哟？？？

昨天下午在用的时候突然进程一下子100个,
很多奇怪的进程, 用安全模式杀了以后再重新启动就蓝屏了.然后就只能在安全模式下操作了
我现在就是在带网络连接的安全模式下进行的

从日志下面项目来看，你的桌面程序已经不是系统原来的了
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [N/A]

从下面项来看，不知道这样的劫持项是什么意思
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe]
    <IFEO[cscript.exe]><ctfmon.exe>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ftp.exe]
    <IFEO[ftp.exe]><ctfmon.exe>  [(Verified)Microsoft Windows Component Publisher]

从下面项目可知，已经中了强感染型病毒了，其他盘所有.exe文件都可能被感染。
==================================
服务
[333B2FFC / 333B2FFC][Stopped/Auto Start]
  <C:\WINDOWS\Fonts\D28D35A8.EXE -k><>
[3KO8UYPE / 3KO8UYPE][Stopped/Auto Start]
  <C:\WINDOWS\L13UUADNI9.exe -CLKE6A4><喁旷哜厄哂菥锭菩戗嵯醺豇亦帖劓谄>
[7RIEO45SA / 7RIEO45SA][Stopped/Auto Start]
  <C:\WINDOWS\Q786HGLD7R1.exe -GSFQFKBR><喁旷哜厄哂菥锭菩戗嵯醺豇亦帖劓谄>

从下面项目看，如果对应文件在的话，可能需要考虑确保删除成功才行
==================================
服务
[Audition / Audition][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -kAudition-->%SystemRoot%\System32\oodlrx.dll><N/A>
[emozyh / emozyh][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost -k emozyh-->%SystemRoot%\System32\mdlhuw.kll><N/A>
[idtins / idtins][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k idtins-->%SystemRoot%\System32\sizmbx.dll><N/A>
[MS Median Control qCenter / MediaqCentern][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\TbmetdD.dll><N/A>
[rhokpg / rhokpg][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -k rhokpg-->%SystemRoot%\System32\flmomt.fdf><N/A>
[wedr / wedr][Stopped/Auto Start]
  <C:\WINDOWS\system32\wedr.exe><Beijing Rising Information Technology Co., Ltd.>

至于驱动那里，我个人建议必须去卸载所有安全软件了，实在难以处理这一堆驱动，我几乎都不认识。唉......

求版主 提供一下可以解决的方法,昨天搞了一晚上,没有搞好, 明天公司就上班了,系统又不能重新做,我现在搞的是没有办法了

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Fonts\D28D35A8.EXE
C:\WINDOWS\L13UUADNI9.exe
C:\WINDOWS\Q786HGLD7R1.exe
C:\WINDOWS\system32\oodlrx.dll
C:\WINDOWS\system32\mdlhuw.kll
C:\WINDOWS\system32\sizmbx.dll
C:\WINDOWS\System32\TbmetdD.dll
C:\WINDOWS\system32\flmomt.fdf
C:\WINDOWS\system32\wedr.exe

不论提取结果如何，压缩发来看看


记住，从现在起，其他盘的任何.exe文件都不能运行，千万不能运行

还有没有其他方法提取?
我试了几次都是提取错误

:kaka6: 即使清除了系统也不能稳定运行

不论提取结果如何，压缩发来看看

我这汉字，你难以理解？？？

还是拒绝去看

瑞星工程师19：1、文件名：wedr.exe
病毒名：Hack.DDoSer.Win32.Agent.om
2、文件名：Explorer.exe
不是病毒
您所上报的病毒文件将在瑞星2009的21.33.11版本(瑞星2008的20.100.11版本)中处理
解决。


附件: 9999.rar

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\Fonts\D28D35A8.EXE
C:\WINDOWS\L13UUADNI9.exe
C:\WINDOWS\Q786HGLD7R1.exe
C:\WINDOWS\system32\oodlrx.dll
C:\WINDOWS\system32\mdlhuw.kll
C:\WINDOWS\system32\sizmbx.dll
C:\WINDOWS\System32\TbmetdD.dll
C:\WINDOWS\system32\flmomt.fdf
C:\WINDOWS\system32\wedr.exe

不论删除结果如何立即重启电脑，看情况如何。

你现在必须注意，你其他盘所有.exe文件都可能被病毒感染了

又因为蓝屏问题。

所以你必须去将下面其他盘的这几个.exe文件剪切到另一新建文件夹内，确保开机后它们不会自启动。

E:\Program Files\softbar.com\Sentry6\BeSvc.exe
f:\Program Files\Kingdee\KIS\Advance\KDDelegateService.exe
f:\PROGRA~1\MICROS~1\MSSQL\binn\sqlservr.exe
E:\Program Files\softbar.com\Sentry6\SentryAgentA.exe
e:\Program Files\softbar.com\Sentry6\SentryAgentC.exe
E:\Program Files\softbar.com\Sentry6\SentryDog.exe
e:\Program Files\softbar.com\Sentry6\SentryNAT.exe
f:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe
E:\宏电后台运行程序\tynetsrv.exe

因为这些其他盘的文件可能被病毒感染，所以绝对不能再开启它们

最后重启，看能否进正常系统，一定要卸载所有杀毒软件，安全软件呀

现在特麻烦的是，国内的杀毒软件全部不杀那个强感染型病毒

国外简体中文的，也就只有avast最容易得到的了

但是它的全盘扫描是否能清除感染，并还能保证原程序能用，我就不知道了

目前看，很可能其他盘的.exe清除感染后，也会出现不能使用的情况

瑞星这边我已经联系工程师，加库估计得等到明天了

好烦呀

可惜你们过于依赖安全软件了

没去注重开始的防呀

费尽折腾半天，系统还是会有N多毛病。他的系统里有我置顶帖子说的那个恭喜中奖病毒（该毒删除了不少注册表项）。

如果我是楼主，立即用备份恢复系统。格掉非系统分区，重新安装非系统分区的软件。

我也是这么认为的呀

可是他说不能重装系统哟

唉

多关注关注我签名处的防，估计也不会那么多毒了。