瑞星卡卡安全论坛

我的电脑现在整个卡机，但是电脑上具有很多重要文件以及软件，在逼不得已的情况下不能重装，请求帮助

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar

提取：
C:\WINDOWS\system32\update.dll
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\fonts\tvhafqsv.nls
C:\WINDOWS\fonts\wxboprdg.nls
C:\WINDOWS\fonts\kyyrylti.nls
C:\WINDOWS\fonts\ibtswwpr.nls
C:\WINDOWS\fonts\zxgcvlog.nls
C:\WINDOWS\fonts\czaifmyq.nls
C:\WINDOWS\fonts\papmuvjr.nls
C:\WINDOWS\fonts\tpziceri.nls
C:\WINDOWS\fonts\kgmlsvss.nls
C:\WINDOWS\fonts\ejwrfqkj.dll
C:\WINDOWS\fonts\umgtjogd.dll
C:\WINDOWS\fonts\zpmtgths.nls
C:\WINDOWS\fonts\jyctbpvl.nls
C:\WINDOWS\fonts\wxvwikjk.nls
C:\Documents and Settings\Local User\360.dll
C:\WINDOWS\system32\ohcxnh.fdf
C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2009.exe
C:\WINDOWS\system32\piljg.exe
C:\WINDOWS\system32\gtgfh.exe
C:\WINDOWS\System32\dudej.ref
C:\WINDOWS\system32\ntirmon.dll
C:\WINDOWS\system32\DuBa.exe
C:\WINDOWS\system32\\byzgyy.fvg
C:\WINDOWS\NoHacker.cn.exe
C:\Program Files\Microsoft Office\smss.exe
C:\WINDOWS\system32\svcewqka.exe
C:\WINDOWS\system32\svcclrmi.exe
C:\WINDOWS\NOTIAN.DLL
C:\WINDOWS\System32\ntnwcworkstation.dll
C:\WINDOWS\system32\fzefky.gtm
C:\WINDOWS\system32\wtaoek.kll
C:\WINDOWS\system32\qqraq.exe
C:\WINDOWS\system32\6ynjyugG.dll
C:\WINDOWS\system32\RxmctrC.dll
C:\WINDOWS\system32\tgaq.exe
C:\WINDOWS\system32\Tow.exe
C:\WINDOWS\system32\toaq.exe
C:\WINDOWS\system32\tqaq.exe
C:\WINDOWS\system32\tsraq.exe
C:\WINDOWS\system32\twaq.exe
C:\WINDOWS\System32\wins\wgeklqrey.dll
C:\WINDOWS\system32\WinHelp3okoka2.exe
C:\WINDOWS\system32\vuzpqb.dll
C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE
C:\PROGRA~1\COMMON~1\Microsoft\krnln.fnr
C:\WINDOWS\TEMP\lva1.tmp
C:\WINDOWS\TEMP\waa2.tmp

不论提取结果如何，哪怕提取失败，也请压缩发来看看

其中下面三个文件不认识，难以判断，等文件发来看过后再说吧
C:\WINDOWS\system32\update.dll
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\r_server.exe

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar
删除：
C:\WINDOWS\fonts\tvhafqsv.nls
C:\WINDOWS\fonts\wxboprdg.nls
C:\WINDOWS\fonts\kyyrylti.nls
C:\WINDOWS\fonts\ibtswwpr.nls
C:\WINDOWS\fonts\zxgcvlog.nls
C:\WINDOWS\fonts\czaifmyq.nls
C:\WINDOWS\fonts\papmuvjr.nls
C:\WINDOWS\fonts\tpziceri.nls
C:\WINDOWS\fonts\kgmlsvss.nls
C:\WINDOWS\fonts\ejwrfqkj.dll
C:\WINDOWS\fonts\umgtjogd.dll
C:\WINDOWS\fonts\zpmtgths.nls
C:\WINDOWS\fonts\jyctbpvl.nls
C:\WINDOWS\fonts\wxvwikjk.nls
C:\Documents and Settings\Local User\360.dll
C:\WINDOWS\system32\ohcxnh.fdf
C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2009.exe
C:\WINDOWS\system32\piljg.exe
C:\WINDOWS\system32\gtgfh.exe
C:\WINDOWS\System32\dudej.ref
C:\WINDOWS\system32\ntirmon.dll
C:\WINDOWS\system32\DuBa.exe
C:\WINDOWS\system32\\byzgyy.fvg
C:\WINDOWS\NoHacker.cn.exe
C:\Program Files\Microsoft Office\smss.exe
C:\WINDOWS\system32\svcewqka.exe
C:\WINDOWS\system32\svcclrmi.exe
C:\WINDOWS\NOTIAN.DLL
C:\WINDOWS\System32\ntnwcworkstation.dll
C:\WINDOWS\system32\fzefky.gtm
C:\WINDOWS\system32\wtaoek.kll
C:\WINDOWS\system32\qqraq.exe
C:\WINDOWS\system32\6ynjyugG.dll
C:\WINDOWS\system32\RxmctrC.dll
C:\WINDOWS\system32\tgaq.exe
C:\WINDOWS\system32\Tow.exe
C:\WINDOWS\system32\toaq.exe
C:\WINDOWS\system32\tqaq.exe
C:\WINDOWS\system32\tsraq.exe
C:\WINDOWS\system32\twaq.exe
C:\WINDOWS\System32\wins\wgeklqrey.dll
C:\WINDOWS\system32\WinHelp3okoka2.exe
C:\WINDOWS\system32\vuzpqb.dll
C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE
C:\PROGRA~1\COMMON~1\Microsoft\krnln.fnr
C:\WINDOWS\TEMP\lva1.tmp
C:\WINDOWS\TEMP\waa2.tmp

不论删除结果如何立即重启电脑，看情况如何。

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

灰鸽子、木马甚多（怀疑楼主是不是专门养灰鸽子的……），服务项目问题严重，少数系统服务注册表项及映像文件被改，手工修复甚为复杂。

一些服务项目无法确认，有待楼主自行确认。

给出日志中的可疑项，见附件。

附件: 可疑.log

看了下，貌似楼主裸奔。

就靠360安全卫士来防毒？我晕。

提取的文件1楼所要求的，麻烦了 机子是裸奔的

天月，我就回复你第2问好了

附件: 提取文件2.rar

文件删除后的日志

附件: SREngLOG.log

一堆服务不知道是什么
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <C:\WINDOWS\fonts\tvhafqsv.nls><>  [N/A]
    <C:\WINDOWS\fonts\wxboprdg.nls><>  [N/A]
    <C:\WINDOWS\fonts\kyyrylti.nls><>  [N/A]
    <C:\WINDOWS\fonts\ibtswwpr.nls><>  [N/A]
    <C:\WINDOWS\fonts\zxgcvlog.nls><>  [N/A]
    <C:\WINDOWS\fonts\czaifmyq.nls><>  [N/A]
    <C:\WINDOWS\fonts\papmuvjr.nls><>  [N/A]
    <C:\WINDOWS\fonts\tpziceri.nls><>  [N/A]
    <C:\WINDOWS\fonts\kgmlsvss.nls><>  [N/A]
    <C:\WINDOWS\fonts\ejwrfqkj.dll><>  [N/A]
    <C:\WINDOWS\fonts\umgtjogd.dll><>  [N/A]
    <C:\WINDOWS\fonts\zpmtgths.nls><>  [N/A]
    <C:\WINDOWS\fonts\jyctbpvl.nls><>  [N/A]
    <C:\WINDOWS\fonts\wxvwikjk.nls><>  [N/A]
你先用这东西清理一些加载项\服务
下载后断网再安装
http://cu003.www.duba.net/duba/tools/dubatools/ksm2/ksm2.exe
重启后再来个SRENG日志




我不知道这毛豆报的什么东西

r_rever 是一个远程控制程序
用金山网盾清理后的日志
以及windows清理助手导出的系统诊断日志

附件: SREngLOG.log

附件: SYSLOG.TXT

如果我上面提到的文件，去用解压工具WinRAR打开文件加找不到，就可以了

尤其是我说的那些.dll文件，都没了就可以了

以下文件均以文件夹形式存在
C:\Documents and Settings\Local User\360.dll
C:\WINDOWS\system32\ohcxnh.fdf
C:\WINDOWS\System32\dudej.ref
C:\WINDOWS\system32\ntirmon.dll
C:\WINDOWS\system32\byzgyy.fvg
C:\WINDOWS\system32\svcewqka.exe
C:\WINDOWS\system32\svcclrmi.exe
C:\WINDOWS\System32\ntnwcworkstation.dll
C:\WINDOWS\system32\fzefky.gtm
C:\WINDOWS\system32\wtaoek.kll
C:\WINDOWS\system32\qqraq.exe
C:\WINDOWS\system32\6ynjyugG.dll
C:\WINDOWS\system32\RxmctrC.dll
C:\WINDOWS\system32\tgaq.exe
C:\WINDOWS\system32\Tow.exe
C:\WINDOWS\system32\toaq.exe
C:\WINDOWS\system32\tqaq.exe
C:\WINDOWS\system32\tsraq.exe
C:\WINDOWS\system32\twaq.exe
C:\WINDOWS\System32\wins\wgeklqrey.dll
C:\WINDOWS\system32\WinHelp3okoka2.exe
C:\WINDOWS\system32\vuzpqb.dll
C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE
C:\PROGRA~1\COMMON~1\Microsoft\krnln.fnr

那就没事了，那是费尔删除时抑制病毒再生而创建的文件夹

谢谢了，现在我弄正版瑞星过来再杀毒一次