请高手帮杀这个电脑病毒 bbs.ikaka.com

llflying - 2009-7-16 14:31:00

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

sinoer - 2009-7-16 14:33:00

使用PE杀毒光盘引导查杀，下面是下载页面
http://zhidao.ikaka.com/Aspx/Html/StaticHtml/296/296551.html

天云一剑 - 2009-7-16 14:34:00

文件粉碎即可

llflying - 2009-7-16 14:43:00

能不能详细的告诉我下,谢谢!!!!

天月来了 - 2009-7-16 14:46:00

什么玩意扫描出来的呢？？

既然它扫描出来了，难道不支持清除吗？？

merrk_chuan - 2009-7-16 14:50:00

看样子有点像360的木马查杀大全？不知道是不是，难道它查不出来了删不掉？

天月来了 - 2009-7-16 15:02:00

目前我的能力，只知道这三系统文件可能有问题。我是不能确定的。
C:\WINDOWS\system32\NETAPI32.dll
C:\WINDOWS\system32\WININET.dll
c:\windows\system32\es.dll

另外我能力有限，不知道下面三文件，是否系统绝对需要，它们都是有问题的。我添加入下面的删除文件了，自己选择是否删除吧。
C:\WINDOWS\system32\Ias.dll
C:\WINDOWS\system32\Iprip.dll
C:\WINDOWS\system32\ntmssvc.dll

愿意的话，处理前，先下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
C:\WINDOWS\system32\NETAPI32.dll
C:\WINDOWS\system32\WININET.dll
c:\windows\system32\es.dll
C:\WINDOWS\system32\Ias.dll
C:\WINDOWS\system32\Iprip.dll
C:\WINDOWS\system32\ntmssvc.dll

不论提取结果如何，哪怕提取失败，也请压缩发来看看

下面是具体清理操作：
((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动里面的程序后，点击“开始替换”，程序提示重启电脑时，暂时不重启，继续下面操作

附件: XPSP3.rar (2009-7-16 15:02:20, 223.82 K)
该附件被下载次数 173

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\6to4.dll
C:\WINDOWS\system32\Ias.dll
C:\WINDOWS\system32\Iprip.dll
C:\WINDOWS\system32\NWCWorkstation.dll
C:\WINDOWS\system32\Nwsapagent.dll
C:\WINDOWS\system32\drivers\klan.sys
C:\WINDOWS\system32\drivers\WmiSvc.sys
C:\WINDOWS\system32\drivers\pcidump.sys
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\system32\Va7SpUWgCA5f.dll
C:\WINDOWS\system32\ed78ab9.dll
C:\WINDOWS\system32\zHvqM6hMxwpem.dll
C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\WcCtgJ4zcxHF.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\xg4hAPNygs29.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\fonts\xPjWNGd8cERq.fon
C:\WINDOWS\system32\zvadNUhWHnAA69wD.dll
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll
C:\WINDOWS\system32\JPccCJnKygDdp3.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll
C:\WINDOWS\system32\hNdcS96gQxDk.dll
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
C:\WINDOWS\system32\up9fEkYRsKHT.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon
C:\WINDOWS\fonts\uXUsF2RrQy.fon
C:\WINDOWS\system32\wadSSw5k.dll
C:\WINDOWS\system32\y7YFM8BwXchaasyQ.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp
D:\Program Files\Tencent\QQ\MSIMG32.dll

不论删除结果如何立即重启电脑

下载W i n d o w s 清理助手，升级清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

llflying - 2009-7-16 16:25:00

下面是我提取出来的

附件: 备份文件夹.rar

天月来了 - 2009-7-16 17:43:00

C:\WINDOWS\system32\ntmssvc.dll文件不要删除，其它照做。

llflying - 2009-7-16 18:26:00

这种病毒,使我的杀毒软件都开不了也安装不了,同时杀了以后重起一样的有,重装系统以后一样的存在,请给个好的建议....按风的建议做了,而且还重装系统了现在还是一样..........

我若为王 - 2009-7-16 18:46:00

麻烦，重安个系统完了，以后用的时候要注意，不该用的不要用，不该看的不要看。

llflying - 2009-7-16 19:25:00

已经重按了几次系统了还是一样的.........病毒还在

天月来了 - 2009-7-17 8:04:00

噢

你都重装系统几遍啦

那还不简单，进新系统的第一次，绝不使用其他盘文件，绝不打开其他盘，直接去联网下载杀毒软件，安装后升级至最新，全盘杀毒呗

还有你安装在其他盘的原本的什么QQ呀，迅雷呀等等软件，直接删除其目录，不要再随意使用了。

还有你如果是在局域网内，可能需要安装arp防火墙，总之局域网内其他中木马群的电脑是很容易继续恶搞你的。

记住你安装新系统后，哪怕是安装硬件驱动，也是不能使用原机文件的。

天月来了 - 2009-7-17 8:08:00

还有更绝的是

你们求助的为什么在第一次处理完不行的情况下，绝不愿意再继续扫描日志给我们看看呢？？

有时候很想知道处理的方法是否有效，是否需要改进什么的。

可惜

llflying - 2009-7-17 10:11:00

天月,因为我使用的电信的所以要想上网必须要安装星空,所以要想直接上网安装也是不可能的撒,我可以把我现在的扫描给你们看,我已经按你们的全部都试过了,包括我怀疑中的是木马群病毒也按你们的木马群病毒的处理方法也试过了,无效啊!!!!!!!!!!!!!!!!!11

aaccbbdd - 2009-7-17 10:12:00

新日志呢....

llflying - 2009-7-17 10:16:00

下面是我刚扫描的...

附件: SREngLOG.log

天月来了 - 2009-7-17 10:24:00

必须要安装星空？？？？？？

不安装星空就不能拨号？？？

aaccbbdd - 2009-7-17 10:24:00

汗
我建议重装
大量系统服务文件被替换

重装完
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

再运行C盘外的程序

天月来了 - 2009-7-17 10:31:00

去找那xp系统的控制面板里找“管理工具”什么的，里面找那“事件查看”里面找关于那星空报号登陆退出的那部分事件，抓图我看

那里可以看到星空拨号的真实帐户名

llflying - 2009-7-17 10:55:00

天月我没按路由器肯定要安装星空才能上撒

我没找到你说的那个,但是看到好多红叉的................

llflying - 2009-7-17 10:56:00

aaccbbdd - 2009-7-17 10:56:00

换ISP
没记错的话互联星空还曾被挂马

llflying - 2009-7-17 11:00:00

引用:

原帖由 aaccbbdd 于 2009-7-17 10:24:00 发表
汗
我建议重装
大量系统服务文件被替换

重装完
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫......

你这个重装完后就不要安装了吗???一样的要到其他盘安装把,

llflying - 2009-7-17 11:01:00

引用:

原帖由 aaccbbdd 于 2009-7-17 10:56:00 发表
换ISP
没记错的话互联星空还曾被挂马

是换路由器搞吗??????

天月来了 - 2009-7-17 11:03:00

事件查看器内找呀

谁说要找红的了？？

一点一点找呀，告诉你经验哟

你现在立即关闭断开星空拨号

等几秒，再去看关闭星空的时间段内，那事件记录那里的对应时间段的事件记录

抓图我看

哈

llflying - 2009-7-17 11:16:00

天月搞好了哈
你看看

天月来了 - 2009-7-17 16:26:00

^^07356627265就是你的正确帐户名

你新系统进入后，不要再使用原其他盘内的星空安装包了

直接去用xp系统自身的宽带拨号，去输入这帐户名，密码还是你原来的密码，连接搞搞吧。

星空软件实际上就是将你原帐户名07356627265前面加了个^^符号而已，并修改电信服务器那你的宽带帐户名为^^07356627265而已。哈哈

llflying - 2009-7-18 10:39:00

谢谢我的毒已杀了
是先用金山急救箱杀然后在有蜘蛛杀,在重装系统就OK了....................

天才特工 - 2009-7-23 13:28:00

这个病毒好熟悉，建议使用瑞星2009全盘查杀或使用360顽固木马专杀即可。

瑞星卡卡安全论坛