瑞星卡卡安全论坛

帮我看看吧！一堆顽固病毒。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件: SREngLOG.log

http://bbs.ikaka.com/showtopic-8653867.aspx
跟这个差不多。

上金山急救箱吧

C:\Program Files\Internet Explorer\D9.dll
上传样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心为：http://mailcenter.rising.com.cn/uploadnew.aspx

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\fonts\juxfqjdwmfqehcy2.fon
c:\windows\system32\mv3arsbmapjxbcruu.dll
c:\windows\system32\wcctgj4zcxhf.dll
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\q9q2mhj3utberm7wc.dll
c:\windows\system32\emhnpubaaf7xjuxbbdxsg.dll
c:\docume~1\admini~1\locals~1\temp\1305614
c:\program files\internet explorer\d9.dll
c:\windows\system32\w7uds3zyayg9.dll


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{407C7A80-4656-4C4A-81C6-DFFB8009B80F}]    <C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll>
[{427E02E6-39DB-4424-A49C-7553CD1331F5}]    <C:\WINDOWS\system32\WcCtgJ4zcxHF.dll>
[{E3531A16-FFEA-416F-82DF-32FEDE02EABF}]    <C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>
[{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}]    <C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>
[{D6129F8A-6F6E-41D7-BBC9-AC7426759CED}]    <C:\WINDOWS\system32\w7uds3zyayg9.dll>
[{108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2}]    <C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[zx / zx]    <>
[zx / zx]    <>

**************以上分析报告由SREngLog分析助手提供******************
分析QoS
时间：2009-8-11
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

到是说个解决方法啊！

再补充一点，userinit.exe可能被感染，用正常系统的同名文件替换：c:\windows\system32\userinit.exe

使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\program files\internet explorer\d9.dll
c:\windows\fonts\juxfqjdwmfqehcy2.fon
c:\windows\system32\mv3arsbmapjxbcruu.dll
c:\windows\system32\wcctgj4zcxhf.dll
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\q9q2mhj3utberm7wc.dll
c:\windows\system32\emhnpubaaf7xjuxbbdxsg.dll
c:\docume~1\admini~1\locals~1\temp\1305614
c:\windows\system32\w7uds3zyayg9.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{407C7A80-4656-4C4A-81C6-DFFB8009B80F}]    <C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll>
[{427E02E6-39DB-4424-A49C-7553CD1331F5}]    <C:\WINDOWS\system32\WcCtgJ4zcxHF.dll>
[{E3531A16-FFEA-416F-82DF-32FEDE02EABF}]    <C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>
[{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}]    <C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>
[{44145A62-C003-4C0E-ADDE-4AB37A7FD38B}]    <C:\Program Files\Internet Explorer\D9.dll>
[{D6129F8A-6F6E-41D7-BBC9-AC7426759CED}]    <C:\WINDOWS\system32\w7uds3zyayg9.dll>
[{108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2}]    <C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll>
注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[zx / zx]    <>
[zx / zx]    <>

不知道你还要什么解决方法，你可以先试试3楼的上金山急救箱吧
http://labs.duba.net/jjx.shtml

不行就下载XDelBox(http://www.dodudou.com/down/download.php?fname=./01.原创软件/XDelBox1.8剑盟版.rar)  进行删除吧

sigverif－－－－－－－文件签名验证程序
（运行中输入，然后截图）

用XD删除时说文件不存在~~重扫日志看看~~

附件: SREngLOG1.log

userinit.exe被感染，从其他同版本操作系统中复制：c:\windows\system32\userinit.exe，替换到本地。
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~2ddaa.tmp

上传病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

使用费尔工具删除下列文件（签名处下载）
c:\docume~1\admini~1\locals~1\temp\~2ddaa.tmp
c:\docume~1\admini~1\locals~1\temp\31379

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[zx / zx]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~2ddaa.tmp>


下载附件运行（小狮子做的）

附件: xp-sp3 userinit.exe替换.rar (2009-8-11 16:27:46, 72.14 K)
该附件被下载次数 217