瑞星卡卡安全论坛

昨天晚上电脑同时中了ctfmen.exe和xeex.exe病毒，想用超级兔子、清理助手、360和瑞星杀毒软件杀了病毒，可这些软件根本打不开或者就是已经被卸载了，在安全模式下，重新安装了sreng,扫了一份日志，请帮帮我.

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

附件: SREngLOG.log

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除
c:\documents and settings\administrator\application data\spy009.dll
c:\windows\fonts\bqgc5yhmsd4yd.fon
c:\windows\fonts\f13erxr2urh.fon
c:\windows\fonts\fyrwjf5qfhh.fon
c:\windows\fonts\kbppf2wufq.fon
c:\windows\fonts\mbsv2qqje.fon
c:\windows\fonts\ntkrm2essn.fon
c:\windows\fonts\ty5ufs434yyd.fon
c:\windows\system32\704c3595.dll
c:\windows\system32\76b9ba7a.dll
c:\windows\system32\cjptnyj6hwtgwwjdue.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\efc0c52cc1.dll
c:\windows\system32\hhnt2pbk.dll
c:\windows\system32\sgcqdll.dat
c:\windows\system32\t44y9a553nq.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\system32\uxrgq8zep.dll
c:\windows\system32\fxhuyth.dll
c:\windows\system32\ufqcu5.dll

2.删除重启后使用SREng修复下面各项：
  启动项目 －－ 注册表之如下项删除：
[kcmzdym]    <C:\WINDOWS\system32\fxhuyth.dll>
[{C8417122-386F-48C7-8900-C82E4694FEBC}]    <C:\Documents and Settings\Administrator\Application Data\Spy009.dll>
[{C722AD57-35DA-4460-8353-328372F32AB2}]    <C:\WINDOWS\system32\ufQCU5.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[{37C5D66A-8B1B-4545-8112-3751194F6A4A}]    <C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>
[{93EC6B33-16B4-4110-BBC1-8B4A20E321C5}]    <C:\WINDOWS\system32\uXrgQ8ZEp.dll>
[{CD95107F-52A5-42A4-9914-18949993E798}]    <C:\WINDOWS\fonts\tY5UFS434YYd.fon>
[{1E322963-355E-422F-BE2E-8C4667E31D10}]    <C:\WINDOWS\fonts\NtkRM2essN.fon>
[{AF235511-A3CA-4AF6-BA10-C2D229B8A01B}]    <C:\WINDOWS\system32\t44y9a553NQ.dll>
[{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}]    <C:\WINDOWS\fonts\MbsV2QQJe.fon>
[{64C29133-5E8F-46E6-B8DA-9142180ECA8A}]    <C:\WINDOWS\fonts\kBPpf2WUfQ.fon>
[{704C3595-DB85-40F6-A601-8D6F346907BD}]    <C:\WINDOWS\system32\704C3595.dll>
[{76B9BA7A-81D0-4979-8598-8471F2AB5186}]    <C:\WINDOWS\system32\76B9BA7A.dll>
[{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}]    <C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>
[{15882A2F-A06D-486E-8958-E84C86CBF273}]    <C:\WINDOWS\fonts\fyrwJf5Qfhh.fon>
[{54DA5754-2475-4B55-8DFA-D0327C8F4A9E}]    <C:\WINDOWS\system32\hhnt2pBK.dll>
[{349F9B06-D92F-4AF9-AE96-6730A16821F9}]    <C:\WINDOWS\system32\CJPtNyJ6HWTgWWJdUe.dll>
[{028A997C-4262-4107-BD46-2ABBC6143E8C}]    <C:\WINDOWS\system32\efc0c52cc1.dll>
[{E11FB24A-F766-4D0F-ADF5-237958FFA262}]    <C:\WINDOWS\fonts\f13ERxR2Urh.fon>

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\updater.exe
C:\WINDOWS\System32\SGCQdll.dat
C:\WINDOWS\fonts\f13ERxR2Urh.fon
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\CJPtNyJ6HWTgWWJdUe.dll
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
<C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\fonts\kBPpf2WUfQ.fon
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\NtkRM2essN.fon
C:\WINDOWS\fonts\tY5UFS434YYd.fon
C:\WINDOWS\system32\uXrgQ8ZEp.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\ufQCU5.dll
<C:\Documents and Settings\Administrator\Application Data\Spy009.dll
C:\WINDOWS\system32\fxhuyth.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp

上传病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

好的，很着急。

附件: SREngLogEm.LOG

你的日志显示

系统时间异常：2005-06-11,09:37:53

SRENG版本异常System Repair Engineer 2.5.16.900 Emergency Scan Mode

将系统时间调正确，并用最新版本SRENG工具扫描日志来

你怎么到处找老版本的SRENG扫描日志呢？:kaka6:

SRENG工具版本过低，难以判断C:\WINDOWS\system32\userinit.exe文件是否还是系统原文件了

你在做完下面的重启电脑后，一定要在防火墙内阻止C:\WINDOWS\system32\userinit.exe访问网络

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\system32\updater.exe
C:\WINDOWS\System32\SGCQdll.dat
C:\WINDOWS\fonts\f13ERxR2Urh.fon
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\CJPtNyJ6HWTgWWJdUe.dll
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\fonts\kBPpf2WUfQ.fon
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\NtkRM2essN.fon
C:\WINDOWS\fonts\tY5UFS434YYd.fon
C:\WINDOWS\system32\uXrgQ8ZEp.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\ufQCU5.dll
C:\Documents and Settings\Administrator\Application Data\Spy009.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp
C:\WINDOWS\fonts\f13ERxR2Urh.fon
C:\WINDOWS\system32\CJPtNyJ6HWTgWWJdUe.dll
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\fonts\kBPpf2WUfQ.fon
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\NtkRM2essN.fon
C:\WINDOWS\fonts\tY5UFS434YYd.fon
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll

不论删除结果如何立即重启电脑，看情况如何。

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

ctfmen.exe是不是在D盘？如是，请检查一下QQ目录中的隐藏文件wsock32.dll

对，在D盘下

我只能在安全模式下扫描和杀毒，清理助手在安全模式下还用不了

你反正删除那些文件操作吧

以及我说的自己做吧

还有8楼说的，自己保证绝不运行QQ软件以及其他盘程序吧

然后看情况如何

在安全模式下扫了日志

附件: SREngLOG.log

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\dllcache\userinit.exe

不论提取结果如何，压缩发来看看

我想看一看文件还是不是系统原文件了

你现在到底还有什么异常？？？

在正常模式下，杀毒软件无法用，有的杀软连安装都安装不了，电脑左下角“开始”处和我打开的页面上有方格，我粘了图，请帮忙看看。还有，D盘下的citmen.exe不是我使用QQ造成的，是浏览一个网页中招的
我把提取结果压缩了，和方格样子的图片一并上传

附件: 图片说明.rar

附件: 图片说明1.rar

附件: 备份文件夹.rar

那就正常模式下扫描新日志来看

刚才我想在线用sreng再扫一份日志，可一点sreng程序，sreng就没有了，别的像瑞星、360、清理助手等都这样的，用不了，病毒还在

换我置顶工具贴那个2.6版的SRENG工具扫描日志来

它不会没了

还有你附件传来的文件里，
C:\WINDOWS\system32\userinit.exe已经不是系统原来的文件了

你去用C:\WINDOWS\system32\dllcache\userinit.exe文件替换掉你那C:\WINDOWS\system32\userinit.exe文件。重启电脑

用C:\WINDOWS\system32\dllcache\userinit.exe文件替换掉你那C:\WINDOWS\system32\userinit.exe文件  就是复制C:\WINDOWS\system32\dllcache\userinit.exe粘帖到C:\WINDOWS\system32，是吗？

是呀

必须得替换

还有2.6版的SRENG日志呢？？

还是不能运行？

2.6的运行了，在进入的时候提示入口有错，我把截图也上传

附件: SREngLOG.log

附件: 图片说明.rar

我置顶工具贴找超级巡警，删除下面文件，重启电脑看情况如何，应该可以运行杀毒软件和清理助手了

C:\WINDOWS\system32\fxhuyth.dll
C:\WINDOWS\system\Vch43.tmp
C:\WINDOWS\system\VchE.tmp
C:\WINDOWS\system\Vch12.tmp
C:\WINDOWS\system\VchA.tmp
C:\WINDOWS\system\Vch2.tmp
C:\WINDOWS\system\Vch7.tmp
C:\WINDOWS\system\Vch4.tmp
C:\WINDOWS\system\Vch8.tmp
C:\WINDOWS\system\VchC.tmp

只是那些*.tmp文件不知道是你的什么软件的？？？

替换了C:\WINDOWS\system32\userinit.exe文件，重新启动了，现在那种方格没有了

看我21楼回贴内容

杀毒软件和清理助手还是运行不了

你到底超级巡警删除了那个C:\WINDOWS\system32\fxhuyth.dll没有呀？？？

你是以为怎么个操作呢？

删除后得立即重启电脑呀

重启后还不行，就再来日志看文件到底情况如何呗

你太能拖拉了，不够干脆

用超级巡警删除了那几个.tmp。我重新启动一下，下面怎么办？

你到底超级巡警删除了那个C:\WINDOWS\system32\fxhuyth.dll没有呀？？

运行清理助手再看，还不行，就扫描2.6版SRENG日志来看

就是这个C:\WINDOWS\system32\fxhuyth.dll文件运行后删除你的各个安全软件的。

应该删除了吧，新日志

附件: SREngLOG.log

你没去试着重新下载清理助手，运行清理系统？？

没去重装杀毒软件，升级后全盘杀毒？？

日志没什么了

清理助手可以运行了，里面没显示有什么异常。瑞星2008版也能安装了，不过要重新启动，我估计可以用了