瑞星卡卡安全论坛

第一次在论坛发帖，今天电脑中了木马，不知道我的电脑是不是已经成了病毒库了，下面是今天Sreng的扫描日志，我看不懂，跪求各位大大给我读一下帮我解决掉。。。小弟感激不尽啊！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG78.log

在线等！请各位帮帮忙啊！

1.下载“建立安全环境工具”
链接地址：http://bbs.ikaka.com/showtopic-8547280.aspx
2.下载木马群专杀工具专杀：
http://dl.rising.com.cn/DownLoadInfo/VirusTools_More.shtml
3：下载橙色八月专用提取清除工具：
http://dl.rising.com.cn/DownLoadInfo/2008-04-26/1209209418d46489.shtml
使用这些工具后再安装瑞星并全盘查杀

这些东西都已经N年不更新了。哪有用哟:kaka6:

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\va7spuwgca5f.dll
c:\windows\fonts\vgugf6vf2e.fon
c:\windows\fonts\mqppw9kyn.fon
c:\windows\system32\ed78ab9.dll
c:\windows\system32\jbn2ypqy23vwx.dll
c:\windows\system32\crsaqd4hw.dll
c:\windows\system32\zhvqm6hmxwpem.dll
c:\windows\system32\cduauvkgy9.dll
c:\windows\fonts\vbw9zhsjt3m8tvgf.fon
c:\windows\system32\qsbvdcwq7umu.dll
c:\windows\fonts\uxusf2rrqy.fon
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\ybm7kf9hevhdx.dll
c:\windows\system32\e4814792.dll
c:\windows\fonts\mbsv2qqje.fon
c:\windows\fonts\bqgc5yhmsd4yd.fon
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\jpcccjnkygddp3.dll
c:\windows\system32\76b9ba7a.dll
c:\windows\system32\gsfmwdwd3.dll
c:\windows\system32\a0c86020.dll
c:\windows\system32\122b901e.dll
ifeo[uihost.exe]
ifeo[ulibcfg.exe]
ifeo[updaterui.exe]
ifeo[uplive.exe]
ifeo[vcr32.exe]
ifeo[vcrmon.exe]
ifeo[vptray.exe]
ifeo[vsserv.exe]
ifeo[vstskmgr.exe]
ifeo[vstskmgr.exe ]
ifeo[webproxy.exe]
ifeo[xcommsvr.exe]
ifeo[xnlscn.exe]
ifeo[修复工具.exe]
scrnsave.exe
ifeo[sndsrvc.exe]
ifeo[spbbcsvc.exe]
ifeo[symlcsvc.exe]
ifeo[tbmon.exe]
ifeo[tmp6.exe]
ntsd -d
c:\program files\internet explorer\002.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}]    <C:\WINDOWS\system32\Va7SpUWgCA5f.dll>
[{A9BCD26B-9EFB-4718-A9DB-67A61DB76C77}]    <C:\WINDOWS\fonts\vgUGf6VF2E.fon>
[{51F88A10-09E6-4763-948F-1C8861003255}]    <C:\WINDOWS\fonts\MqppW9KYn.fon>
[{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}]    <C:\WINDOWS\system32\ed78ab9.dll>
[{A23CA53C-731F-4033-92E8-C1DFB4E71D34}]    <C:\WINDOWS\system32\JBn2ypqY23vWX.dll>
[{93F33500-527E-4E33-AECA-69B15243A90E}]    <C:\WINDOWS\system32\cRsAQd4hw.dll>
[{41912A21-4337-4E99-8C30-80A8434B0793}]    <C:\WINDOWS\system32\zHvqM6hMxwpem.dll>
[{93DA1E7D-7C46-4F90-8674-EC90511FCA72}]    <C:\WINDOWS\system32\CDuAUVkGy9.dll>
[{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}]    <C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon>
[{EC2B07DD-0051-405D-9C98-C8BBF9F27B9A}]    <C:\WINDOWS\system32\QsbvDcwq7umu.dll>
[{11B10F7F-FB23-466D-BDC3-9591CF02EC17}]    <C:\WINDOWS\fonts\uXUsF2RrQy.fon>
[{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}]    <C:\WINDOWS\system32\ndxq9awMc.dll>
[{E45C0FF6-B170-43B2-B897-6D02C43A2E18}]    <C:\WINDOWS\system32\ybM7kf9heVHDx.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}]    <C:\WINDOWS\fonts\MbsV2QQJe.fon>
[{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}]    <C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>
[{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}]    <C:\WINDOWS\system32\dhDhwS7fFW.dll>
[{37C5D66A-8B1B-4545-8112-3751194F6A4A}]    <C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{704C3595-DB85-40F6-A601-8D6F346907BD}]    <C:\WINDOWS\system32\704C3595.dll>
[{9726072A-8039-4958-B609-565CF7A16B38}]    <C:\WINDOWS\system32\JPccCJnKygDdp3.dll>
[{76B9BA7A-81D0-4979-8598-8471F2AB5186}]    <C:\WINDOWS\system32\76B9BA7A.dll>
[{F1C149F4-380C-4F8A-B87E-7393732B27C1}]    <C:\WINDOWS\system32\GsfMwDWD3.dll>
[{A0C86020-5935-4B87-B20E-0B656D450264}]    <C:\WINDOWS\system32\A0C86020.dll>
[{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}]    <C:\WINDOWS\system32\122B901E.dll>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uihost.exe]]    <IFEO[uihost.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ulibcfg.exe]]    <IFEO[ulibcfg.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updaterui.exe]]    <IFEO[updaterui.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uplive.exe]]    <IFEO[uplive.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcr32.exe]]    <IFEO[vcr32.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcrmon.exe]]    <IFEO[vcrmon.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe]]    <IFEO[vptray.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe]]    <IFEO[vsserv.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe]]    <IFEO[vstskmgr.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe ]]    <IFEO[vstskmgr.exe ]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webproxy.exe]]    <IFEO[webproxy.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe]]    <IFEO[xcommsvr.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xnlscn.exe]]    <IFEO[xnlscn.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\修复工具.exe]]    <IFEO[修复工具.exe]>
[[HKEY_CURRENT_USER\Control Panel\Desktop]]    <SCRNSAVE.EXE>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sndsrvc.exe]]    <IFEO[sndsrvc.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spbbcsvc.exe]]    <IFEO[spbbcsvc.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe]]    <IFEO[symlcsvc.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tbmon.exe]]    <IFEO[tbmon.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tmp6.exe]]    <IFEO[tmp6.exe]>
[IFEO[360down.exe]]    <ntsd -d>
[IFEO[360hotfix.exe]]    <ntsd -d>
[IFEO[360rpt.exe]]    <ntsd -d>
[IFEO[360safe.exe]]    <ntsd -d>
[IFEO[360safebox.exe]]    <ntsd -d>
[IFEO[360tray.exe]]    <ntsd -d>
[IFEO[360upp.exe]]    <ntsd -d>
[IFEO[agentsvr.exe]]    <ntsd -d>
[IFEO[apvxdwin.exe]]    <ntsd -d>
[IFEO[ast.exe]]    <ntsd -d>
[IFEO[avcenter.exe]]    <ntsd -d>
[IFEO[avengine.exe]]    <ntsd -d>
[IFEO[avgnt.exe]]    <ntsd -d>
[IFEO[avguard.exe]]    <ntsd -d>
[IFEO[avltmain.exe]]    <ntsd -d>
[IFEO[avp.exe]]    <ntsd -d>
[IFEO[avp32.exe]]    <ntsd -d>
[IFEO[avtask.exe]]    <ntsd -d>
[IFEO[bdagent.exe]]    <ntsd -d>
[IFEO[bdwizreg.exe]]    <ntsd -d>
[IFEO[boxmod.exe]]    <ntsd -d>
[IFEO[ccapp.exe]]    <ntsd -d>
[IFEO[ccenter.exe]]    <ntsd -d>
[IFEO[ccevtmgr.exe]]    <ntsd -d>
[IFEO[ccregvfy.exe]]    <ntsd -d>
[IFEO[ccsetmgr.exe]]    <ntsd -d>
[IFEO[DrvAnti.exe]]    <ntsd -d>
[IFEO[egui.exe]]    <ntsd -d>
[IFEO[ekrn.exe]]    <ntsd -d>
[IFEO[extdb.exe]]    <ntsd -d>
[IFEO[frameworkservice.exe]]    <ntsd -d>
[IFEO[frwstub.exe]]    <ntsd -d>
[IFEO[guardfield.exe]]    <ntsd -d>
[IFEO[iparmor.exe]]    <ntsd -d>
[IFEO[kaccore.exe]]    <ntsd -d>
[IFEO[kasmain.exe]]    <ntsd -d>
[IFEO[kav32.exe]]    <ntsd -d>
[IFEO[kavstart.exe]]    <ntsd -d>
[IFEO[kavsvc.exe]]    <ntsd -d>
[IFEO[kavsvcui.exe]]    <ntsd -d>
[IFEO[kislnchr.exe]]    <ntsd -d>
[IFEO[kissvc.exe]]    <ntsd -d>
[IFEO[kmailmon.exe]]    <ntsd -d>
[IFEO[knownsvr.exe]]    <ntsd -d>
[IFEO[kpfw32.exe]]    <ntsd -d>
[IFEO[kpfwsvc.exe]]    <ntsd -d>
[IFEO[kregex.exe]]    <ntsd -d>
[IFEO[kvfw.exe]]    <ntsd -d>
[IFEO[kvmonxp.exe]]    <ntsd -d>
[IFEO[kvmonxp.kxp]]    <ntsd -d>
[IFEO[kvol.exe]]    <ntsd -d>
[IFEO[kvprescan.exe]]    <ntsd -d>
[IFEO[kvsrvxp.exe]]    <ntsd -d>
[IFEO[kvwsc.exe]]    <ntsd -d>
[IFEO[kvxp.kxp]]    <ntsd -d>
[IFEO[kwatch.exe]]    <ntsd -d>
[IFEO[livesrv.exe]]    <ntsd -d>
[IFEO[makereport.exe]]    <ntsd -d>
[IFEO[mcagent.exe]]    <ntsd -d>
[IFEO[mcdash.exe]]    <ntsd -d>
[IFEO[mcdetect.exe]]    <ntsd -d>
[IFEO[mcshield.exe]]    <ntsd -d>
[IFEO[mctskshd.exe]]    <ntsd -d>
[IFEO[mcvsescn.exe]]    <ntsd -d>
[IFEO[mcvsshld.exe]]    <ntsd -d>
[IFEO[mghtml.exe]]    <ntsd -d>
[IFEO[naprdmgr.exe]]    <ntsd -d>
[IFEO[navapsvc.exe]]    <ntsd -d>
[IFEO[navapw32.exe]]    <ntsd -d>
[IFEO[navw32.exe]]    <ntsd -d>
[IFEO[nmain.exe]]    <ntsd -d>
[IFEO[nod32.exe]]    <ntsd -d>
[IFEO[nod32krn.exe]]    <ntsd -d>
[IFEO[nod32kui.exe]]    <ntsd -d>
[IFEO[npfmntor.exe]]    <ntsd -d>
[IFEO[oasclnt.exe]]    <ntsd -d>
[IFEO[pavsrv51.exe]]    <ntsd -d>
[IFEO[pfw.exe]]    <ntsd -d>
[IFEO[psctrls.exe]]    <ntsd -d>
[IFEO[psimreal.exe]]    <ntsd -d>
[IFEO[psimsvc.exe]]    <ntsd -d>
[IFEO[qqdoctormain.exe]]    <ntsd -d>
[IFEO[ras.exe]]    <ntsd -d>
[IFEO[ravmon.exe]]    <ntsd -d>
[IFEO[ravmond.exe]]    <ntsd -d>
[IFEO[ravstub.exe]]    <ntsd -d>
[IFEO[ravtask.exe]]    <ntsd -d>
[IFEO[rfwcfg.exe]]    <ntsd -d>
[IFEO[rfwmain.exe]]    <ntsd -d>
[IFEO[rfwproxy.exe]]    <ntsd -d>
[IFEO[rfwsrv.exe]]    <ntsd -d>
[IFEO[rsagent.exe]]    <ntsd -d>
[IFEO[rsmain.exe]]    <ntsd -d>
[IFEO[rsnetsvr.exe]]    <ntsd -d>
[IFEO[rssafety.exe]]    <ntsd -d>
[IFEO[rstray.exe]]    <ntsd -d>
[IFEO[safebank.exe]]    <ntsd -d>
[IFEO[safeboxtray.exe]]    <ntsd -d>
[IFEO[scan32.exe]]    <ntsd -d>
[IFEO[scanfrm.exe]]    <ntsd -d>
[IFEO[sched.exe]]    <ntsd -d>
[IFEO[seccenter.exe]]    <ntsd -d>
[IFEO[secnotifier.exe]]    <ntsd -d>
[IFEO[SetupLD.exe]]    <ntsd -d>
[IFEO[shstat.exe]]    <ntsd -d>
[IFEO[smartup.exe]]    <ntsd -d>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[qq2 / qq2]    <\??\C:\Program Files\Internet Explorer\002.tmp>

    系统修复－－ HOSTS文件－－重置

**************以上分析报告由SREngLog分析助手提供******************
分析：zapline
时间：2009/7/8
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

下载IFEO修复程序
http://www.dodudou.com/down/IFEO.rar
*
下载安全模式修复工具
http://www.dodudou.com/down/index.php?dirpath=./02.常用工具&order=0
*

这是一个感染型下载器
在"开始“-“运行”对话框中输入“msconfig”
找到启动选项卡
除了Windows或SYSTEM32路径的都不打勾
或者直接用诊断模式
应用=确定
提示重启先别重启
去下面网站下载工具
【不要用迅雷等工具】
保存到C:\Windows
并安装到C:\Windows
它会自动运行并检测

http://labs.duba.net/jjx.shtml

哇，看见了看见了，谢谢各位大大先！~~我先去搞。。

XD工具不支持删除这样的东西:kaka6:

ifeo[uihost.exe]
ifeo[ulibcfg.exe]
ifeo[updaterui.exe]
ifeo[uplive.exe]
ifeo[vcr32.exe]
ifeo[vcrmon.exe]
ifeo[vptray.exe]
ifeo[vsserv.exe]
ifeo[vstskmgr.exe]
ifeo[vstskmgr.exe ]
ifeo[webproxy.exe]
ifeo[xcommsvr.exe]
ifeo[xnlscn.exe]
ifeo[修复工具.exe]
scrnsave.exe
ifeo[sndsrvc.exe]
ifeo[spbbcsvc.exe]
ifeo[symlcsvc.exe]
ifeo[tbmon.exe]
ifeo[tmp6.exe]
ntsd -d

断网操作如下（需要的工具先下载下来）

1.下载大蜘蛛放到C:\WINDOWS\下
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

2.C:\WINDOWS\system32\COMRes.dll重命名为1.DLL，把附件的\COMRes.dll放到C:\WINDOWS\system32下

3.
C:\WINDOWS\system32\drivers\TXP1atform.exe
C:\WINDOWS\system32\drivers\pcidump.sys
C:\WINDOWS\system32\1.DLL
C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\system32\P2xnxaS5acXpS95.dll
C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
C:\WINDOWS\system32\dktXFYbT3G.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\GsfMwDWD3.dll
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\JPccCJnKygDdp3.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\ybM7kf9heVHDx.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\fonts\uXUsF2RrQy.fon
C:\WINDOWS\system32\QsbvDcwq7umu.dll
C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\system32\zHvqM6hMxwpem.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\ed78ab9.dll
C:\WINDOWS\fonts\MqppW9KYn.fon
C:\WINDOWS\fonts\vgUGf6VF2E.fon
C:\WINDOWS\system32\Va7SpUWgCA5f.dll
C:\WINDOWS\system32\xg4hAPNygs29.dll
C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

4.打开大蜘蛛全盘查杀

5.运行IFEO映像挟持修复程序(enao.ys168.com 下载)

6.删除注册表项目
    <Explorer><C:\WINDOWS\system32\drivers\TXP1atform.exe>  []
    <updater><C:\WINDOWS\system32\updater.exe>  [File is missing]
  <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll>  []
    <{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}><C:\WINDOWS\system32\EN7hzSreCat8.dll>  []
    <{EBFD50DA-1206-4381-860D-77F92A2905D9}><C:\WINDOWS\system32\P2xnxaS5acXpS95.dll>  []
    <{480F828B-3E98-426A-AEBC-B4307DF4771D}><C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll>  []
    <{750DBD56-AF03-47CB-BB28-BBF312B059F9}><C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon>  []
    <{39C1640B-E010-48CF-88A1-0D17A33AF9EA}><C:\WINDOWS\system32\dktXFYbT3G.dll>  []
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  []
    <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll>  []
    <{F1C149F4-380C-4F8A-B87E-7393732B27C1}><C:\WINDOWS\system32\GsfMwDWD3.dll>  []
    <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll>  []
    <{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll>  []
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>  []
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  []
    <{37C5D66A-8B1B-4545-8112-3751194F6A4A}><C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>  []
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  []
    <{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}><C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>  []
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}><C:\WINDOWS\fonts\MbsV2QQJe.fon>  []
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><C:\WINDOWS\system32\E4814792.dll>  []
    <{E45C0FF6-B170-43B2-B897-6D02C43A2E18}><C:\WINDOWS\system32\ybM7kf9heVHDx.dll>  []
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  []
    <{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon>  []
    <{EC2B07DD-0051-405D-9C98-C8BBF9F27B9A}><C:\WINDOWS\system32\QsbvDcwq7umu.dll>  []
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}><C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon>  []
    <{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>  []
    <{41912A21-4337-4E99-8C30-80A8434B0793}><C:\WINDOWS\system32\zHvqM6hMxwpem.dll>  []
    <{93F33500-527E-4E33-AECA-69B15243A90E}><C:\WINDOWS\system32\cRsAQd4hw.dll>  []
    <{A23CA53C-731F-4033-92E8-C1DFB4E71D34}><C:\WINDOWS\system32\JBn2ypqY23vWX.dll>  []
    <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll>  []
    <{51F88A10-09E6-4763-948F-1C8861003255}><C:\WINDOWS\fonts\MqppW9KYn.fon>  []
    <{A9BCD26B-9EFB-4718-A9DB-67A61DB76C77}><C:\WINDOWS\fonts\vgUGf6VF2E.fon>  []
    <{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll>  []

删除服务
[ClipBook / ClipSrv][Stopped/Auto Start]
  <C:\WINDOWS\java\classes\CLIPORV.exe><(File is missing)>

删除驱动服务
[qq2 / qq2][Stopped/Manual Start]
  <\??\C:\Program Files\Internet Explorer\002.tmp><N/A>
[pcidump / pcidump][Running/Disabled]
  <\??\C:\WINDOWS\system32\drivers\pcidump.sys><N/A>

附件: comres.rar

弱弱的问一句。
菜鸟大大，那个。。
这种：

ifeo[updaterui.exe]
ifeo[uplive.exe]
ifeo[vcr32.exe]
ifeo[vcrmon.exe]
ifeo[vptray.exe]


这些都什么意思啊？一起复制到剪贴板里然后用xdelbox删掉吗？。。

额  姐姐 这个是那个SRENG助手自己搞出来的啊:kaka3:
下面还发了镜像劫持修复工具的链接。。。。

你意思助手错的，你也可以错着回帖:kaka6:

天月版主好！
第一次向你求助，你是个MM啊？:kaka15:
我想问，为什么我的Xdelbox在删除的时候不会立即重启删除，而是会出现一行让我很恶心的英文，然后我自己重启，好像也删了。。
还有就是我的电脑现在会出现文件保护的提示，是不是我把什么重要文件删了，在来论坛以前我在瑞星的在线查毒，查了一次，然后用冰剑，一个一个得删掉了病毒文件。:kaka6: 哎~~~
还有那个映像劫持怎么用的？我刚才说的那些文字要复制另存吗？

同问大大菜鸟。。

Xdelbox在文件添加的时候就默认自动加入系统自身的延时重启删除列表了，这在它出错后，重启电脑，系统自身还是能去删除病毒文件的。

文件保护的提示，是因为你替换了文件，但是和系统自身备份里的文件不一样，系统自己就自动提示了，这是他们的建议不完全，不能彻底解决你的问题而已。

映像劫持嘛。我置顶工具的映像劫持清除工具都内附说明图，自己去看去

至于我嘛。不是MM，是个男的。

:kaka6:

菜鸟大大，

[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uihost.exe]]    <IFEO[uihost.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ulibcfg.exe]]    <IFEO[ulibcfg.exe]>


这个我在启动项目里找不见。。难道要直接在regedit里删除？

:kaka5: 我是新手，你还是参考Enao2005 和天月姐姐的吧:kaka4:

:kaka12: 没事，起码证明你那样走不通，一起进步吧!!

天月版主，有没有能批量删除注册表项的工具啊，难道是一个一个删？

置顶工具里面不是有,像费尔的,超级巡警都可以批量删除文件....

我回你的贴里不是说了嘛

映像劫持可以批量删除工具删除嘛，置顶工具贴都是汉字哟。自己找吧

至于其他注册表项什么的，只有那么SRENG工具中删除了，没别的好办法。

问好各位先，说一下我为什么开新帖。
今天早上一直杀毒杀的我都想吐了，可是这个TXP1atform.exe的病毒依然那么的坚挺，:kaka10: 我按照Enao2005大神的方法试验了一次以后我的系统好干净啊:kaka1: 。可是我重启一次以后，我发现我杀了一天又回到了原点。没错，它又回来了。。XD删不掉，冰剑找不到，哎~~~:kaka4:
现在这个情况我又扫了一下，日志放上来，还有个问题是IE主页被篡改，:kaka7: 先不管，弄死这个让人恶心的TXP1atform.exe再说~:kaka8:

麻烦天月版主和路过的大侠看一下，如果分析后，和以前的方法一样，那就说明是我没做好，很抱歉我又浪费了大家一次时间。但是我这次誓死不重装系统，以前出了问题我就GHOST，菜嘛。。可是我现在也想高飞了，请大家支持我吧 ！:kaka18:

拜谢！！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

继续在线等！

因为此毒感染除系统Windows文件夹外的所有.exe文件和网页类文件

所以处理麻烦

首先必须阻止这个程序开机自启动，否则一开机，它一运行，就又来毒了，将360tray.exe文件改个名吧，随便改
    <360Safetray><D:\Program Files\360safe\safemon\360tray.exe /start>  [(Verified)Qizhi Software (beijing) Co. Ltd]

然后继续下面的操作

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动里面的程序后，点击“开始替换”，程序提示重启电脑时，暂时不重启，继续下面操作

附件: XPSP2.rar (2009-7-8 18:17:27, 297.00 K)
该附件被下载次数 172

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\drivers\TXP1atform.exe
C:\WINDOWS\system32\HVMK.dll
C:\WINDOWS\system32\drivers\klan.sys

不论删除结果如何继续下面操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[ddppecx / ddppecx][Running/Boot Start]
  <\SystemRoot\system32\drivers\ofkxm.sys><N/A>

[klan / klan][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\klan.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

然后重启电脑，进系统后绝不使用其他盘文件，绝不打开其他盘

这里下载映像劫持清除管理工具，清除检测到的劫持项。
附件: 映像劫持清除管理以及修复工具.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

接下来直接去下载免费30天的全功能瑞星杀毒软件，安装后升级最新版本全盘杀毒
http://all.rising.com.cn/download/transfer.asp?ver=COMFREE

必须升级至最新版本全盘杀毒

刚刚看见，谢谢天月斑竹先，马上搞。。

斑竹大大，我发现，在我进行了一系列的准备工作要开始以后，发现第一步做不到。。
那个东西改不了名字，要用什么软件吗？

那就卸载360软件，必须得卸载它，不让它开机自启动

这么长时间，你才开始做呀？？

估计病毒又下载一堆其他病毒了:kaka6:

不用再扫描吧~:kaka3: 很麻烦你了都:kaka7:

就那么先做着吧

还有异常，在扫日志吧

反正不能打开其他盘，不能使用其他盘文件，绝对不能哟

意思是：只能开C盘，只能用C盘的文件对吗？！