病毒求助！！！ bbs.ikaka.com

准星lh - 2009-6-12 19:22:00

:kaka7: :kaka4: 我的电脑中了病毒，瑞星发现后提示删除，点击删除后没有反应，然后再打开瑞星、360安全卫士、卡卡安全助手就会在几秒种后自动关闭。上网正常，但首页被改变了，有谁知道这是怎么回事？求助，求助！！！！！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; GTB6)

lrxyhrm - 2009-6-12 19:31:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

准星lh - 2009-6-12 19:45:00

引用:

原帖由 lrxyhrm 于 2009-6-12 19:31:00 发表
扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选

附件: SREngLOG.log

zg1_2004 - 2009-6-12 19:49:00

该用户帖子内容已被屏蔽

准星lh - 2009-6-12 19:52:00

我都在用 360没有报告主页修改我不太会用电脑装上了我也不敢也不会设置啊！
没有解决办法吗？

超级游戏迷 - 2009-6-12 20:00:00

问题项目如下：
==================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<ming9bstart><C:\WINDOWS\system\ming9b090423.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
<{153FC33C-8D26-4620-ACBA-3371AAC67A23}><C:\WINDOWS\System32\flysoft.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apvxdwin.exe]
<IFEO[apvxdwin.exe]><ntsd -d> [N/A]
……………………………………………………（此处省略n处病毒添加的IFEO项）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xnlscn.exe]
<IFEO[xnlscn.exe]><ntsd -d> [N/A]
==================================
服务
[Application Management / AppMgmt][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>（该系统服务的映像文件可能被感染）
[Microsoft Device Logical / porting][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k "porting"-->C:\WINDOWS\system32\c5883c.dll><Microsoft Corporation>
==================================
驱动程序
[klan / klan][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\klan.sys><N/A>（未知驱动程序）
[mtlrd / mtlrd][Running/Auto Start]
<\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys><N/A>
[wvtvo / wvtvo][Running/Boot Start]
<\SystemRoot\system32\drivers\kztxy.sys><N/A>
==================================
正在运行的进程
[c:\windows\system32\appmgmts.dll] [N/A, ]（系统文件，可能已被感染）
[C:\Program Files\Common Files\PushWare\cpush.dll] [, 1.1.4.1]
[C:\WINDOWS\system32\Com\1.2.8\WndHook.dll] [N/A, ]
==================================
核心就是这个C:\WINDOWS\system32\Com\1.2.8\WndHook.dll病毒文件。

准星lh - 2009-6-12 20:06:00

谢谢帮助可是我是个电脑盲你说的我看不懂啊能不能说得简单易懂一些:kaka2:

准星lh - 2009-6-12 20:08:00

能不能直接告诉我怎么做？

地区性 - 2009-6-12 20:11:00

用XDelBox把那些有问题的文件删除

超级游戏迷 - 2009-6-12 20:14:00

可按顺序搞下看看：

一、你机中的c:\windows\system32\appmgmts.dll先用同名正常系统文件替换；

二、断网后，用XDELBOX的重启删除功能批量删除以下病毒文件；
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys
C:\WINDOWS\\system32\drivers\kztxy.sys
C:\Program Files\Common Files\PushWare\cpush.dll
C:\WINDOWS\system32\Com\1.2.8\WndHook.dll
C:\WINDOWS\system32\c5883c.dll
C:\WINDOWS\system\ming9b090423.exe
C:\WINDOWS\System32\flysoft.dll

三、重启后，清理病毒添加的注册表垃圾（IFEO项可用修复工具完成，置顶工具贴有下）：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<ming9bstart>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
<{153FC33C-8D26-4620-ACBA-3371AAC67A23}>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apvxdwin.exe]
……………………………………………………（此处省略n处病毒添加的IFEO项）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xnlscn.exe]

四、用SRENG扫描工具删除病毒添加的驱动和服务项：
（1）服务
[Microsoft Device Logical / porting]
（2）驱动程序
[mtlrd / mtlrd]
[wvtvo / wvtvo]

五、重启电脑，升级杀软到最新版本，全盘杀毒。

zz558 - 2009-6-12 20:24:00

:kaka4:

2009.06.04
我的U盘中毒了，用瑞星把病毒杀掉了，杀毒报告显示该病毒好像主要破坏C盘。毒虽然顺利被杀但我的U盘中除压文件之外，其他诸如Word，Excell，PDF,CAJ格式的文件及文档全部消失了。
但是出现了以下的情况：
（1） U盘的内存并没有减少，还和中毒之前一样；
（2）用瑞星和诺顿进行扫描时，U盘中的压文件，其他Word，Excell，PDF,CAJ格式的文件及文档全部可以在目录跳动时看到。

请问这该如何恢复？

浪漫纸箱 - 2009-6-12 20:59:00

引用:

原帖由 超级游戏迷 于 2009-6-12 20:14:00 发表
可按顺序搞下看看：

一、你机中的c:\windows\system32\appmgmts.dll先用同名正常系统文件替换；

appmgmts.dll可以在c:\windows\system32\dllcache文件夹里找到正常文件。:kaka1:

准星lh - 2009-6-12 20:59:00

替换？？？怎么替换举个例子？

浪漫纸箱 - 2009-6-12 21:01:00

引用:

原帖由 zz558 于 2009-6-12 20:24:00 发表
:kaka4:

2009.06.04
我的U盘中毒了，用瑞星把病毒杀掉了，杀毒报告显示该病毒好像主要破坏C盘。毒虽然顺利被杀但我的U盘中除压文件之外，其他诸如Word，Excell，PDF,CAJ格式的文件及文档全部消失了。
但是出现了以下的情况：
（1） U盘的内存并没有减少，还和中毒之前一样；
（2）用瑞星和诺顿进行扫描时，U盘中的压文件，其他Word，

您的问题已恢复，请楼主查看。
请您不要随机发求助贴，可能会影响到其他求助者。
谢谢

浪漫纸箱 - 2009-6-12 21:06:00

引用:

原帖由 准星lh 于 2009-6-12 20:59:00 发表
替换？？？怎么替换举个例子？

在那个文件夹中找到要替换的那个文件，然后将其复制到c:\windows\system32\文件夹下（不能保证病毒未感染该文件，一般不会感染）

准星lh - 2009-6-12 21:10:00

替换？？？？怎么替换？？？？举个例子是不是改掉dll 还是改掉appmgmts

有很多文件啊用哪个替换啊？我真的不懂啊

它本来就在这个文件夹里啊

浪漫纸箱 - 2009-6-12 21:17:00

嗯还好系统一致。
楼主附件里是我电脑里的appmgmts.dll您解压后放到c:\windows\system32就可以了（复制--粘贴）。

附件: appmgmts.rar

浪漫纸箱 - 2009-6-12 21:18:00

引用:

原帖由 准星lh 于 2009-6-12 21:10:00 发表
替换？？？？怎么替换？？？？举个例子是不是改掉dll 还是改掉appmgmts

有很多文件啊用哪个替换啊？我真的不懂啊

它本来就在这个文件夹里啊

它可能被病毒做了手脚。

超级游戏迷 - 2009-6-12 21:30:00

漏了一个可疑文件，提交“可疑文件交流区”鉴定下：C:\WINDOWS\system32\zbtZ.dll

准星lh - 2009-6-12 21:31:00

不能替换文件正在被使用

准星lh - 2009-6-12 21:37:00

引用:

原帖由 超级游戏迷 于 2009-6-12 21:30:00 发表
漏了一个可疑文件，提交“可疑文件交流区”鉴定下：C:\WINDOWS\system32\zbtZ.dll

不支持此类文件上传

浪漫纸箱 - 2009-6-12 21:46:00

引用:

原帖由 准星lh 于 2009-6-12 21:37:00 发表

引用:

原帖由 超级游戏迷 于 2009-6-12 21:30:00 发表
漏了一个可疑文件，提交“可疑文件交流区”鉴定下：C:\WINDOWS\system32\zbtZ.dll

不支持此类文件上传

呵呵，楼主这种格式文件要压缩后上传的。

准星lh - 2009-6-12 21:50:00

引用:

原帖由 浪漫纸箱 于 2009-6-12 21:46:00 发表

引用:

原帖由 准星lh 于 2009-6-12 21:37:00 发表

引用:

原帖由 超级游戏迷 于 2009-6-12 21:30:00 发表
漏了一个可疑文件，提交“可疑文件交流区”鉴定下：C:\WINDOWS\system32\zbtZ.dll

不支持此类文件上传

呵呵，楼主这种格式文

无法打开程序正在被使用

浪漫纸箱 - 2009-6-12 21:51:00

引用:

原帖由 准星lh 于 2009-6-12 21:31:00 发表
不能替换文件正在被使用

楼主能进PE系统么？在PE系统中替换。

浪漫纸箱 - 2009-6-12 22:05:00

:kaka1: 提交“可疑文件交流区”鉴定下：C:\WINDOWS\system32\zbtZ.dll

1.

2

.

找到后压缩。上传就行了。:kaka12:

超级游戏迷 - 2009-6-12 22:07:00

复制一份到其它目录，再压缩；如果不能复制，用任务管理器关闭EXPLORER.EXE进程，按路径找到这个文件，再压缩。

鉴于楼主动手能力有限，建议找一帮一小组解决，详见站务区置顶……

backway - 2009-6-12 23:23:00

先下载17楼的附件解压解压出来的那个appmgmts.dll放到D盘下
下载XueTr0.27.rar 解压运行，选“文件”，进入D盘，右键appmgmts.dll，选择“拷贝到”，只后选中浏览选择C:\windows\system32,之后确定提示替换时按确定。。。。

选“映像劫持”，将里面的东西全部删了......

然后...下载XDelBox.rar 运行（里面有使用说明）删除下列文件：
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys
C:\WINDOWS\system32\drivers\kztxy.sys
C:\Program Files\Common Files\PushWare\cpush.dll
C:\WINDOWS\system32\Com\1.2.8\WndHook.dll
C:\WINDOWS\system32\c5883c.dll
C:\WINDOWS\system\ming9b090423.exe
C:\WINDOWS\system32\drivers\klan.sys
C:\WINDOWS\system32\zbtZ.dll
C:\WINDOWS\System32\HtmlPeek.dll
C:\WINDOWS\system32\fly4603.dll

删除重启后使用SREng修复下面各项：

启动项目——注册表：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<ming9bstart>

启动项目－－服务－－ Win32服务应用程序之如下项禁用：

[Microsoft Device Logical / porting]

启动项目－－服务－－驱动程序之如下项禁用：

[mtlrd / mtlrd]
[wvtvo / wvtvo]

klan / klan

系统修复－－　浏览器加载项之如下项删除：

[CAdLogic Object] <C:\Program Files\Common Files\PushWare\cpush.dll>

————————————————————————

耐心点吧....上面说的还不会操作的话就找一帮一的吧....

部分症状像http://bbs.ikaka.com/showtopic-8631848.aspx这里的之后升级瑞星好好杀毒吧......
还有用360清理下插件

瑞星卡卡安全论坛