大侠看看啊,每个盘都有1.exe,搞不定了. bbs.ikaka.com

富豪不富 - 2009-6-29 17:36:00

无盘的服务器上中了病毒,很多杀毒软件都打不开.高手来帮帮忙啊.

扫描日志

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; 360SE)

附件: SREngLOG.log

附件: userinit.rar

附件: COMRes.dll.rar

附件: comres.dll_userinit.exe.rar

天月来了 - 2009-6-29 17:44:00

你等会

急需要你下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\userinit.exe

不论提取结果如何，哪怕提取失败，也请压缩发来看看

zg1_2004 - 2009-6-29 17:47:00

该用户帖子内容已被屏蔽

天月来了 - 2009-6-29 17:58:00

C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\dllcache\COMRes.dll

还得再提取这两文件，必须要

天月来了 - 2009-6-29 18:00:00

你是这个系统
Windows Server 2003 Enterprise Edition Service Pack 1

你提取的文件来看，系统所有位置的这下面两文件都被病毒感染了

我没法为你提供下面文件了，得你自己找相同系统的下面两文件正确替换掉你系统内的这两个文件：
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\userinit.exe

确保系统内开机后绝没有Windows文件夹外的其他程序开机自启动

然后做下面的操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[iivpnq / iivpnq][Running/Boot Start]
<\SystemRoot\system32\drivers\czvxi.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：C:\WINDOWS\system32\360Kill.bat
C:\WINDOWS\system32\drivers\czvxi.sys
C:\WINDOWS\system32\NetNtEx.dll
C:\WINDOWS\system32\fywd.dll
C:\WINDOWS\system32\drivers\twpbqc.sys
C:\WINDOWS\system32\drivers\twqcpr.sys
C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\ynysgR5mC.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\rVT7yuNguG3.fon
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\ZfbJ9AWwU.dll
C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\fonts\A97CRaCB.fon
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\Documents and Settings\Administrator\Application Data\Spy9.dll
C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\system32\VnTU2WAqUcZA6.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\QsbvDcwq7umu.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\system32\ENABLE40.DLL
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\fonts\CESPVP8FQd.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1B.tmp

不论删除结果如何立即重启电脑，进系统后绝不打开任何磁盘，绝不使用其他盘任何文件

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

天月来了 - 2009-6-29 18:00:00

对于这两个系统文件，得靠你自己找相同系统的了，我没办法帮你了
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\userinit.exe

富豪不富 - 2009-6-29 18:02:00

我有一台机器里面有的.

天月来了 - 2009-6-29 18:04:00

如果不会正确替换操作，可以将这正常的两个系统文件发来，我给你做替换程序操作替换

富豪不富 - 2009-6-29 18:04:00

先替换这个文件?
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\userinit.exe
还是进入安全模式替换?

天月来了 - 2009-6-29 18:07:00

可以考虑进入安全模式，不过你的替换不会完全正确的

还是发我吧，做完替换程序，再告诉你操作流程:kaka6:

smallyou93 - 2009-6-29 18:08:00

不知道有没有组策略

开始，运行，gpedit.msc
如图所示，组两条策略

?:\ 不允许的
C:\ 不受限的

富豪不富 - 2009-6-29 18:10:00

看不懂,兄弟讲详细点,这样做有什么用

天月来了 - 2009-6-29 18:16:00

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动“2003sp1系统.exe”程序后，点击“开始替换”，程序提示重启电脑时，不重启电脑，继续下面操作

附件: 2003sp1系统.rar (2009-6-29 18:16:15, 275.78 K)
该附件被下载次数 132

确保系统内开机后绝没有Windows文件夹外的其他程序开机自启动

然后做下面的操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[iivpnq / iivpnq][Running/Boot Start]
<\SystemRoot\system32\drivers\czvxi.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\360Kill.bat
C:\WINDOWS\system32\drivers\czvxi.sys
C:\WINDOWS\system32\NetNtEx.dll
C:\WINDOWS\system32\fywd.dll
C:\WINDOWS\system32\drivers\twpbqc.sys
C:\WINDOWS\system32\drivers\twqcpr.sys
C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\ynysgR5mC.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\rVT7yuNguG3.fon
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\ZfbJ9AWwU.dll
C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\fonts\A97CRaCB.fon
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\Documents and Settings\Administrator\Application Data\Spy9.dll
C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\system32\VnTU2WAqUcZA6.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\QsbvDcwq7umu.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\system32\ENABLE40.DLL
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\fonts\CESPVP8FQd.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1B.tmp

不论删除结果如何立即重启电脑，进系统后绝不打开任何磁盘，绝不使用其他盘任何文件

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

天月来了 - 2009-6-29 18:19:00

这1.exe可能是感染Windows文件夹外的所有可执行文件的

所以阻止其他盘任意程序开机自启动很重要，否则被感染程序开机自启动，又会下载病毒的。

还有你上传的两系统文件，必须得是相同系统的哟，否则可就死定了

天月来了 - 2009-6-29 18:22:00

还有什么叫无盘服务器呢？？？

就是指其他所有电脑开机都是从这服务器加载系统工作的？？？

我不懂这些呢，你自己根据我说的基本原则合理考虑操作吧

俺只能帮到这些了

目前瑞星应该最新版本病毒库已可检测清除被感染的程序了

富豪不富 - 2009-6-29 18:25:00

谢谢啊,我试一下啊

富豪不富 - 2009-6-29 18:27:00

任务管理器打不开

富豪不富 - 2009-6-29 18:28:00

打开ie显示什么9348.com

天月来了 - 2009-6-29 18:29:00

任务管理器？？你没事搞那玩意干什么？？

我知道打不开呀

所以我的操作都和它无关呢

天月来了 - 2009-6-29 18:30:00

我知道那9348的问题:kaka6:

富豪不富 - 2009-6-29 18:36:00

我弄了一下,我使用srengldr.exe看了一下启动项还是有很多病毒一样的

富豪不富 - 2009-6-29 18:37:00

是不是病毒每次生成的病毒名字不同的.

天月来了 - 2009-6-29 18:38:00

你到底做了没有？？？

你那么快就已经杀毒软件全盘扫描完了？？

老大，严格做呀，不能没事去玩你以为的东西呀，你自己既然都会操作SRENG工具了，就自己删删去呗

天月来了 - 2009-6-29 18:39:00

我哪知道哟，你这样的拖拖拉拉，基本上没戏了

清理不完了

富豪不富 - 2009-6-29 18:42:00

不是的,本来没有杀毒软件,想下载一个.那个驱动程序每次也不一样吗?我不知道该那步开始操作起.

天月来了 - 2009-6-29 18:44:00

我难道还需要重说一遍？？？

那就重说一遍吧

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动“2003sp1系统.exe”程序后，点击“开始替换”，程序提示重启电脑时，不重启电脑，继续下面操作

附件: 2003sp1系统.rar (2009-6-29 18:16:15, 275.78 K)
该附件被下载次数 1

确保系统内开机后绝没有Windows文件夹外的其他程序开机自启动

然后做下面的操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[iivpnq / iivpnq][Running/Boot Start]
<\SystemRoot\system32\drivers\czvxi.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\360Kill.bat
C:\WINDOWS\system32\drivers\czvxi.sys
C:\WINDOWS\system32\NetNtEx.dll
C:\WINDOWS\system32\fywd.dll
C:\WINDOWS\system32\drivers\twpbqc.sys
C:\WINDOWS\system32\drivers\twqcpr.sys
C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\ynysgR5mC.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\rVT7yuNguG3.fon
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\ZfbJ9AWwU.dll
C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\fonts\A97CRaCB.fon
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\Documents and Settings\Administrator\Application Data\Spy9.dll
C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\system32\VnTU2WAqUcZA6.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\QsbvDcwq7umu.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\system32\ENABLE40.DLL
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\fonts\CESPVP8FQd.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1B.tmp

不论删除结果如何立即重启电脑，进系统后绝不打开任何磁盘，绝不使用其他盘任何文件

去下载免费30天的全功能瑞星杀毒软件，安装后升级最新版本全盘杀毒
http://all.rising.com.cn/download/transfer.asp?ver=COMFREE

记得打全系统漏洞补丁

富豪不富 - 2009-6-29 18:48:00

恩好的,我在试一下

瑞星卡卡安全论坛