瑞星卡卡安全论坛

昨天杀完毒后不停的弹出杀毒对话框，但怎么杀也杀不了，而且所有盘都进不去了，第一开始直接无法访问，现在又变成弹出打开方式的对话框..主页被改成http://www.9348.cn/?205438我也改不回来了..

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

提交
c:\windows\system32\SkDll.exe
c:\windows\system32\drivers\ecydh.sys
C:\WINDOWS\system32\PvDZ.dll

下面的进注册表操作
打开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
删除下面的键值
    <{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}><C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>  [File is missing]
    <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll>  [File is missing]
    <{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}><C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>  [File is missing]
    <{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll>  [File is missing]
    <{762D618C-E2CB-4217-8275-03302A93073F}><C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>  [File is missing]
    <{0127FA15-17DA-4FA3-9675-49BB9CF57053}><C:\WINDOWS\fonts\gPwRF8Rwxb.fon>  [File is missing]
    <{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}><C:\WINDOWS\system32\BbXhGSfTsBbxT83aR.dll>  [File is missing]
    <{5A40895A-E2BC-4a54-8F1E-D9FB54DB6E6E}><C:\WINDOWS\system32\eijkoopg.dll>  [File is missing]
    <{7A713577-C200-4DD2-A00F-F596EAF2E93E}><C:\WINDOWS\fonts\UY9BAMKvGrn7yfjF.fon>  [File is missing]
    <{0CF2A461-4E55-4A3F-8375-97982911BBF0}><C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon>  [File is missing]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  [File is missing]
    <{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}><C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>  [File is missing]
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}><C:\WINDOWS\fonts\MbsV2QQJe.fon>  [File is missing]
    <{EA25F4E7-8B67-452A-B9DD-B38C526250D3}><C:\WINDOWS\fonts\Q9UnbAWWNuSv4.fon>  [File is missing]
    <{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll>  [File is missing]
    <{15882A2F-A06D-486E-8958-E84C86CBF273}><C:\WINDOWS\fonts\fyrwJf5Qfhh.fon>  [File is missing]
    <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll>  [File is missing]
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  [File is missing]
    <{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}><C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>  [File is missing]
    <{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll>  [File is missing]
    <{49043CF7-E4A4-47D7-B393-E1523D262189}><C:\WINDOWS\system32\hNdcS96gQxDk.dll>  [File is missing]
    <{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll>  [File is missing]
    <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>  [File is missing]
    <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll>  [File is missing]
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>  [File is missing]
    <{CD95107F-52A5-42A4-9914-18949993E798}><C:\WINDOWS\fonts\tY5UFS434YYd.fon>  [File is missing]
    <{E0528BDA-C850-4F23-93E4-7F907C1EF30E}><C:\WINDOWS\system32\BRv8dETwEzcN.dll>  [File is missing]
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  [File is missing]
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  [File is missing]
    <{DA112397-5376-4E52-A333-A85284658DEA}><C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon>  [File is missing]
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}><C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon>  [File is missing]

删除这个目录下的所有键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

建议删除，如果不放心可以先上传检测！
补充:  1.    建议使用费尔删除以下文件（签名处下载）

c:\program files\common files\system\mintroot.sys


    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[MintRoot / MintRoot]    <\??\C:\Program Files\Common Files\System\MintRoot.sys>

**************以上分析报告由SREngLog分析助手提供******************
分析：QoS
时间：2009-7-25
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

[quote] 原帖由 sinoer 于 2009-7-25 10:35:00 发表
提交
c:\windows\system32\SkDll.exe
c:\windows\system32\drivers\ecydh.sys
C:\WINDOWS\system32\PvDZ.dll

这三个是怎么弄的

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
上传样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心为：http://mailcenter.rising.com.cn/uploadnew.aspx

下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\PvDZ.dll
C:\WINDOWS\system32\SkDll.dll
c:\windows\system32\SkDll.exe
c:\windows\system32\drivers\ecydh.sys

不论提取结果如何，哪怕提取失败，也请压缩发来看看
——————————————————————————
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\PvDZ.dll
C:\WINDOWS\system32\SkDll.dll
c:\windows\system32\SkDll.exe

不论删除结果如何继续下面操作

这里下载映像劫持清除管理工具，清除检测到的劫持项。
附件: 映像劫持清除管理以及修复工具.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

在扫日志的SRENG工具》系统修复》高级修复》修复安全模式

然后重启电脑，尽量进安全模式下
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[mylc / mylc][Running/Boot Start]
  <\SystemRoot\system32\drivers\ecydh.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

再重启电脑，看情况如何

C:\WINDOWS\system32\PvDZ.dll
提取出的是个TXT文本，名称ARFIRE
我现在杀毒不停地是Trojan.Win32.Nodef.kfg,路径全都是C:\Program Files\Internet,还有个始终杀不掉的也在这个路径，<unknown virus>

[quote] 原帖由 天月来了 于 2009-7-25 11:10:00 发表


貌似还是不行

附件: 备份文件夹.rar

附件: SREngLOG.log

Trojan.PSW.Win32.GameOlx.ey
c:\WINDOWS\ststem32\pvdz.dll
这个东西就是弄不掉。。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面不是全部都是映像劫持的……

日志显示PvDZ.dll提取成功了呀

至于那ARFIRE是提取日志

还有病毒全都是C:\Program Files\Internet中？？

你详细点呀

1、文件名：SkDll.exe  病毒名：Trojan.DL.Win32.Undef.fwr
2、文件名：SkDll.dll
  病毒名：Trojan.DL.Win32.Undef.fwr
3、文件名：COMRes.dll
  不是病毒

您所上报的病毒文件将在瑞星2009的21.40.00版本中处理解决。

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动里面的程序后，点击“开始替换”，程序提示重启电脑时，暂时不重启，继续下面操作

附件: XPSP3.rar (2009-7-25 14:30:54, 210.19 K)
该附件被下载次数 116

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
c:\windows\system32\SkDll.exe
C:\WINDOWS\system32\PvDZ.dll
C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon

不论删除结果如何,继续下面操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <load><c:\windows\system32\SkDll.exe>  []
    <rJSS><%systemroot%\system32\rundll32.exe %systemroot%\system32\PvDZ.dll,DllRegisterServer>  []
    <eijkoopg.dll><C:\WINDOWS\system32\eijkoopg.dll>  [File is missing]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[MintRoot / MintRoot][Stopped/Manual Start]
  <\??\C:\Program Files\Common Files\System\MintRoot.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

然后重启电脑

下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

[quote] 原帖由 天月来了 于 2009-7-25 14:31:00 发表
((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动里面的程序后，点击“开始替换”，程序提示重启电脑时，暂时不重启，继续下面操作

附件: XPSP3.rar (2009-7-25 14:30:54, 210.19 K)
该附件被下载次数 116

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。

好像没什么问题了，就是文件夹和驱动器打开方式总是要选择，我在文件夹选项里面设置的默认打开方式是open但还是没有用

附件: SREngLOG.log

日志显示这驱动还在，你到底做什么事导致它又出现了？？又玩自以为没问题的游戏了？？

又去自以为没问题的网页了？？
==================================
驱动程序
[ecyd / mylc][Running/Boot Start]
  <\SystemRoot\system32\drivers\ecydh.syse><N/A>

进程显示C:\WINDOWS\system32\PvDZ.dll文件又冒出来了

进程显示C:\WINDOWS\system32\COMRes.dll文件好象还是怪怪的

至于打开方式问题，去我置顶工具贴10楼下载那楼的最后一个附件，它有修复磁盘打开方式的功能，试试去。

C:\WINDOWS\system32\COMRes.dll仍然不正常

这些怎么还在？
C:\WINDOWS\system32\PvDZ.dll
[MintRoot / MintRoot][Stopped/Manual Start]
  <\??\C:\Program Files\Common Files\System\MintRoot.sys><N/A>

这个是什么啊？
[ecyd / mylc][Running/Boot Start]
  <\SystemRoot\system32\drivers\ecydh.syse><N/A>



先打开SRENG修复以下项目
启动项目——注册表，找到如下项目删除：
    <eijkoopg.dll><C:\WINDOWS\system32\eijkoopg.dll>

修改<AppInit_DLLs>
注意：把<C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon,kmon.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>
改为<kmon.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>
即可，就是删掉 C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon,

这些貌似都是昨天安完系统下了个彩虹QQ搞出来的。。我杀毒杀了一天了..除了腾讯网和校内网就没去过别地方了.好像一直就弄不掉.

下载QQ等软件建议去官方网站，彩虹已经没了吧？

那就彻底卸载彩虹QQ去

然后继续搞那驱动以及那文件去，和前面一样的操作。再弄吧

至于打开方式问题，去我置顶工具贴10楼下载那楼的最后一个附件，它有修复磁盘打开方式的功能，试试去。

彩虹早已经删除完毕了..
貌似就是晚了.

c:\windows\system32\drivers\ecydh.sys
C:\WINDOWS\system32\drivers\ecydh.sys
C:\WINDOWS\system32\PvDZ.dll
现在杀毒是这三个杀不掉。

瑞星查出来的？如果是用附件里面的软件删除。

附件: FileForceKiller暴力删除器.rar

不行..弹个对话框什么引用的内存内容不能为read.

确认是病毒么？如果是下载XDELBOX删除（使用前移除一切可移动介质）。
http://www.dodudou.com/down/index.php?dirpath=./01.%D4%AD%B4%B4%C8%ED%BC%FE&order=0

虽然比较暴力，但貌似还是管用的..继续查杀中..先谢下楼上各位大侠..