瑞星卡卡安全论坛

请帮忙看看日志，我需要怎么处理！谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)

附件: SREngLOG.log

你这个系统被破坏的够呛了，太多正常系统文件都被感染了，手动清理起来比较费事，还是建议你重装吧，重装后不要打开任何非系统盘符（切记），然后把杀软装到系统盘里，然后升级杀软，全盘查杀下

其实不一定要重装系统，太麻烦了。
先试试金山急救箱
http://labs.duba.net/jjx.shtml
用完以后再扫一份日志上来，看看是否还有挽救的机会

又是木马群?!!

我用的是360安全浏览器，起始页也被改成http://www.9348.cn/?205420，被篡改的首页怎么都改不回去，但是我的杀毒软件可以打开，只是有两个病毒杀不了。

你这系统受病毒影响，破坏太严重了，我就建议下面这点操作了

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动里面的程序后，点击“开始替换”，程序提示重启电脑时，暂时不重启，继续下面操作

附件: XPSP2.rar (2009-7-29 8:23:00, 286.51 K)
该附件被下载次数 397

这里下载XDELBOX工具，并解压至C盘任意文件夹里。（内附操作说明）：
附件:XDelBox.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

用“XDELBOX工具”去删除病毒文件。
复制粘贴下面文件操作删除：
C:\WINDOWS\system32\updater.exe
C:\WINDOWS\system32\CFXR.dll
C:\WINDOWS\system32\632587.dll
C:\WINDOWS\system32\Ias.dll
C:\WINDOWS\system32\drivers\dvgag.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp
C:\WINDOWS\system32\fly9522.dll
C:\WINDOWS\system32\FloodCore.dll
C:\WINDOWS\System32\flysoft.dll

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。
要记得事后将删除工具自身目录内的那个备份文件夹“backups”压缩发来。

这里下载映像劫持清除管理工具，清除检测到的劫持项。
附件: 映像劫持清除管理以及修复工具.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

天月：我按照你的提示步骤操作了，但是杀毒软件和防火墙还是开机自动关闭，而且不能手动打开，开机的时候要提示有病毒，而且老弹出“系统自动更新的文件夹”！

天月：你再看看日志，我应该怎么操作！谢谢

瑞星工程师19：
1、文件名：FloodC~1.dll.bak
  病毒名：AdWare.Win32.Mnless.aye
2、文件名：flysoft.dll.bak
  病毒名：AdWare.Win32.Mnless.ayd

您所上报的病毒文件将在瑞星2009的21.40.33版本中处理解决。

附件: backups.rar

附件: SREngLOG.log

呵呵！！

也有趣

我就知道隔了一夜，又会下载一堆木马群病毒

日志看，一大堆，一大堆的病毒

你还愿意试试么？？

我折腾折腾

麻烦你了，还得继续帮帮我，我应该怎么操作？还有现在的电脑状态，要是使用证券交易系统或者网银等，安全不安全？

下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
c:\windows\system32\ersvc.dll
c:\windows\system32\irmon.dll
c:\windows\system32\browser.dll
C:\WINDOWS\System32\COMRes.dll
不论提取结果如何，哪怕提取失败，也请压缩发来看看

提取完成！

瑞星工程师19：病毒库21.40.34可以处理该样本

附件: 备份文件夹.rar

继续上面我曾经说的，再去执行替换一次系统文件的程序

然后删除下面文件：
C:\WINDOWS\system32\Ias.dll
C:\WINDOWS\system32\632587.dll
C:\WINDOWS\system32\drivers\dvgag.sys
C:\WINDOWS\system32\drivers\WmiSvc.sys
C:\WINDOWS\system32\drivers\pcidump.sys
C:\WINDOWS\system32\fly7790.dll
C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon
C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\WcCtgJ4zcxHF.dll
C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll
C:\WINDOWS\system32\xg4hAPNygs29.dll
C:\WINDOWS\system32\BbXhGSfTsBbxT83aR.dll
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\w7uds3zyayg9.dll
C:\WINDOWS\system32\JPccCJnKygDdp3.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\BRv8dETwEzcN.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\fonts\uXUsF2RrQy.fon
C:\WINDOWS\system32\mz9BpCYkEfEa.dll
C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\system32\zHvqM6hMxwpem.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\ed78ab9.dll
C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon
C:\WINDOWS\system32\Va7SpUWgCA5f.dll
C:\WINDOWS\system32\wdGSVBqAs3Xk.dll
C:\WINDOWS\system32\Y4npJWJNr.dll
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\system32\BMsg6pdMD4ht.dll

我在正常模式里弄？还是在安全模式里弄？上次是在带网的正常模式！

随便你了，实际上我倒是想建议你重装系统，破坏太严重了

如果你有ghost备份文件，倒还好弄

杀毒软件和防火墙已经能打开，但是重起完到现在，一直不停提示有病毒！这个刚刚的最新日志！还有我怎么打起所有补丁？我没敢开自动更新怕黑屏，有没有其他方法？

附件: SREngLOG.log

暂时不连网，全盘杀，杀完再连网升级后再杀吧

多谢！我去杀毒了，再有问题还得麻烦你，辛苦