瑞星卡卡安全论坛

今天开机发现,在电脑每个盘里面都有1.EXE和AutoRun.inf 两个文件,瑞星全部关闭打不开,不能连网,且查出在C:\WINDOWS\是有一个病毒名为PHQP.DLL文件删不了,请各位大侠帮忙告之杀毒的方法

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 (.NET CLR 3.5.30729)

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

深有同感:kaka5:

问一下:SRENG工具最新版本是这个版本吗:2.7.1.1261 版本

:kaka12: 下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
你按二楼大牛的搞就是了

在DOS底下也可以删除
例如：C盘底下有问题
c:\attrib  -s  -h  -a  -r  *.inf
c:\attrib  -s  -h  -a  -r  1.exe
c:\del  *.inf
c:\del  1.exe
就OK了

请大侠看看

附件: SREngLOG.log (2009-7-7 20:30:31, 48.10 K)
该附件被下载次数 246

http://labs.duba.net/jjx.shtml
让他处理去吧
不行的话给你手工工具

先试试看

还是不行

二楼大哥,不知不结果没有

这个病毒专杀杀不彻底，唯一的办法，就是把电脑里所有的EXE文件删除，一个不剩，之后重新安装系统，因为VIKING只要中了就会感染所有的EXE文件，只要你一点那些文件病毒就会复活，还有，系统文件夹的EXE不用删除，安装系统时你格式化就可以了，别的盘的请务必删除，不然病毒还会复活，还有，必须拔掉网线重装系统，这是最彻底的杀毒方法，建议立刻删除EXE文件重装...

:kaka3:
请严格按照以下步骤操作

1.下载附件SmtRpl替换系统文件 ，使用方法见说明。

C:\WINDOWS\temp\explorer.exe 这个是正常的系统文件
C:\WINDOWS\Explorer.EXE 这个是被感染的文件。

用 C:\WINDOWS\temp\explorer.exe 替换 C:\WINDOWS\Explorer.EXE

2.下载附件SmtDel工具删除以下文件，复制以下所有，直接粘贴到框框里，然后删除，重启中会有提示，选择进入那个删除状态就好了。

c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
c:\1.exe
d:\1.exe
e:\1.exe
f:\1.exe
C:\WINDOWS\phpq.dll

工具见http://bbs.ikaka.com/showtopic.aspx?topicid=8641714&page=2
11楼的附件。。。
完全一样的病毒么，而且容易解决的。

感染型
处理需谨慎

不是吧 全删 还不如格盘

应该不是,此1.exe非之前那个1.exe.他们行为很相似,不同的是一个有感染EXE,一个没有...

现在中1.exe的应该都是由于访问了MPEG-2 0DAY挂马页面

补充
用SRENG重置HOSTS文件

打开AutoRun.inf 查看指向，然后删除

explorer.exe被替换
请LZ用C:\WINDOWS\dllcache\explorer.exe替换C:\WINDOWS\explorer.exe
注意dllcache是系统隐藏文件，更改文件属性把他显示出来
然后用SmtDel工具删除以下文件，复制以下所有，直接粘贴到框框里，然后删除，重启中会有提示，选择进入那个删除状态就好了。

C:\WINDOWS\phpq.dll
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
C:\1.exe
D:\1.exe
E:\1.exe
F:\1.exe
smtdel下载见http://bbs.ikaka.com/showtopic.aspx?topicid=8641714&page=2

也帮我看看吧大侠

附件: SREngLOG.log

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\winnt\fonts\vwuxtybhj.fon
c:\documents and settings\administrator\application data\set7.dll
c:\winnt\fonts\zapwgsjgrspdse4.fon
c:\winnt\phpq.dll
c:\winnt\system32\qb5bkzy7vr5m.dll
c:\winnt\fonts\zapwgsjgrspdse4.fon,
c:\winnt\system32\drivers\pcidump.sys
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
C:\1.exe
D:\1.exe
E:\1.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{52C8608A-21A6-4978-B377-B276014501DC}]    <C:\Documents and Settings\Administrator\Application Data\Set7.dll>
[{16886058-6A31-4D53-B4AC-4CC7D2248D69}]    <C:\WINNT\fonts\vwuXtYbhj.fon>
[{71C4F360-FF1E-413E-B17A-0CA267A78E97}]    <C:\WINNT\system32\qB5BKZy7vR5m.dll>
[{BE4D19AC-C2B7-4E43-A4A5-2696B19E4082}]    <C:\WINNT\fonts\zAPWgSjGrSpdsE4.fon>
注意该项[AppInit_DLLs]修改：把<C:\WINNT\fonts\zAPWgSjGrSpdsE4.fon,>修改为<>即清空

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[pcidump / pcidump]    <System32\DRIVERS\pcidump.sys>

    系统修复－－ HOSTS文件－－重置

**************以上分析报告由SREngLog分析助手提供******************
分析：小狮子
时间：2009-7-11
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

如果没有重要资料，还不如去重装呢:kaka6:

试试先

怎么在删除重启之后还是有自动生成的1.exe啊

结束2个Explorer.EXE进程 把C:\WINNT\temp\explorer.exe放到C:\WINNT\下，替换原来那个Explorer.EXE（任务管理器==》文件==》浏览）

然后在按21楼说的操作次

上面操作断网情况下执行

看日志看到最后忘了了一条:kaka11:
Explorer忘了替换


http://labs.duba.net/jjx.shtml
清理下系统算了

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [] //没有公司等信息，怀疑被病毒感染






另外对于那个exe病毒，照其他网友的方法应该可以解决~~~~