瑞星卡卡安全论坛

下面是日志。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件: SREngLOG.log

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\docume~1\admini~1\locals~1\temp\1143770
c:\program files\internet explorer\d9.dll
c:\windows\fonts\a97cracb.fon
c:\windows\fonts\juxfqjdwmfqehcy2.fon
c:\windows\fonts\zefe48cw9emcfar.fon
c:\windows\system32\122b901e.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\76b9ba7a.dll
c:\windows\system32\a4rxqxcvnbmnnpqs.dll
c:\windows\system32\emhnpubaaf7xjuxbbdxsg.dll
c:\windows\system32\mv3arsbmapjxbcruu.dll
c:\windows\system32\q9q2mhj3utberm7wc.dll
c:\windows\system32\qh6xx7vn48svpnk.dll
c:\windows\system32\rfpz9wwyy2np.dll
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\w7uds3zyayg9.dll
c:\windows\system32\wcctgj4zcxhf.dll
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\zzzcz7d8ys9vy.dll
c:\windows\system32\a4rxqxcvnbmnnpqs.dll,

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{44145A62-C003-4C0E-ADDE-4AB37A7FD38B}]    <C:\Program Files\Internet Explorer\D9.dll>
[{5405A7B2-F3F5-446F-8715-2A4EF674E079}]    <C:\WINDOWS\system32\rfpz9wwyy2np.dll>
[{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}]    <C:\WINDOWS\fonts\A97CRaCB.fon>
[{76CBCF38-0583-44C7-A1AE-D463DFE625EC}]    <C:\WINDOWS\system32\skcfujQ5EDN.dll>
[{E762D574-B60E-4160-B417-4788469ECB3E}]    <C:\WINDOWS\system32\ZZZCz7d8yS9vy.dll>
[{704C3595-DB85-40F6-A601-8D6F346907BD}]    <C:\WINDOWS\system32\704C3595.dll>
[{762D618C-E2CB-4217-8275-03302A93073F}]    <C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>
[{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}]    <C:\WINDOWS\system32\122B901E.dll>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>
[{E3531A16-FFEA-416F-82DF-32FEDE02EABF}]    <C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll>
[{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}]    <C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{76B9BA7A-81D0-4979-8598-8471F2AB5186}]    <C:\WINDOWS\system32\76B9BA7A.dll>
[{A761BE8E-C15A-4DDD-A777-2C683E9E96C8}]    <C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll>
[{D6129F8A-6F6E-41D7-BBC9-AC7426759CED}]    <C:\WINDOWS\system32\w7uds3zyayg9.dll>
[{108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2}]    <C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll>
[{407C7A80-4656-4C4A-81C6-DFFB8009B80F}]    <C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll>
[{427E02E6-39DB-4424-A49C-7553CD1331F5}]    <C:\WINDOWS\system32\WcCtgJ4zcxHF.dll>
[IFEO[egui.exe]]    <services.exe>
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll,>修改为<>即清空

**************以上分析报告由SREngLog分析助手提供******************
分析：sco



      回复3f  已加上啦，3Q

补充，这个好像是劫持NOD32
启动项目 －－ 注册表之如下项删除：
[IFEO[egui.exe]]    <services.exe>

不让重启删除会跳出提示：
access violation at address 0040337A in module 'XDelBOX.exe'.read or address 07A84D30.

使用费尔工具删除
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

现在又跳出一个提示：
没有找到COMRes.dll,为此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
一直跳出来~~~
下面是最新扫描~~请看看。

附件: SREngLOG1.log

你怎么越杀毒越厉害了

下载COMRes.dll替换C:\WINDOWS\System32\COMRes.dll（windows清理助手好像可以，你先试试）
替换userinit.exe

附件: xp-sp3 userinit.exe替换.rar (2009-8-11 17:34:13, 72.14 K)
该附件被下载次数 281

使用费尔删除工具


c:\docume~1\admini~1\locals~1\temp\18205
c:\docume~1\admini~1\locals~1\temp\63036
c:\docume~1\admini~1\locals~1\temp\18206
c:\docume~1\admini~1\locals~1\temp\18207
c:\docume~1\admini~1\locals~1\temp\18208
c:\docume~1\admini~1\locals~1\temp\18209
c:\docume~1\admini~1\locals~1\temp\18210
c:\docume~1\admini~1\locals~1\temp\18211
c:\docume~1\admini~1\locals~1\temp\140609
c:\docume~1\admini~1\locals~1\temp\18212
c:\docume~1\admini~1\locals~1\temp\18213
c:\docume~1\admini~1\locals~1\temp\140614
c:\docume~1\admini~1\locals~1\temp\18214
c:\docume~1\admini~1\locals~1\temp\18215
c:\docume~1\admini~1\locals~1\temp\18216
c:\docume~1\admini~1\locals~1\temp\18217
c:\docume~1\admini~1\locals~1\temp\18218
c:\docume~1\admini~1\locals~1\temp\18220
c:\docume~1\admini~1\locals~1\temp\~13a5b.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[zx / zx]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~13a5b.tmp>

下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe
下载windows清理助手清理一遍
http://www.arswp.com/download/arswp3/x86/arswp3_x86.zip（升级后使用)

我也不晓得啊,我按上面说的去做了~~,我重启下看看

http://cu003.www.duba.net/duba/tools/dubatools/ksm2/ksm2.exe

不是感染型下载器的话直接用这东西处理...

还是一样。

你先下载
http://www.arswp.com/download/arswp3/x86/arswp3_x86.zip（升级后使用)
升级到最新
下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe
在下载急救箱
www.duba.net/duba/tools/dubatools/ksm2/ksm2.exe" target="_blank">http://cu003.www.duba.net/duba/tools/dubatools/ksm2/ksm2.exe

之后开始断网，用上面工具杀毒！

附件: xp-sp3 userinit.exe替换.rar

附件: comres.rar

工具下载好，就把网断掉

先清理临时文件，然后用windows清理助手清理！ 

注意一定要断网，你那个木马好像是个病毒下载机！！


sigverif－－－－－－－文件签名验证程序
（运行中输入，然后截图）


你扫描的日志都没有勾选检测数字签名。。

1.jpg (4.13 K)

2009-8-11 18:15:35

不好判断是否有重要系统文件被替换！！

楼主啊，中毒挺深的，还是建议你重装吧
重装后不要打开非系统分区，直接到官方网站下载免费使用1个月的瑞星，全盘查杀
打全补丁

一天了，快被病毒整疯了~~啊啊啊~~~
每次杀了没毒，一重启就又一堆。然后就是跳出
没有打到comres.dll，因此这个应用程序未能启动。重新安装和序可能会修复此问题。
一直弹出来，弹个没停。
真的疯了~~~
我在线等高手们~~在线一直刷新看高手帮我~~

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件: SREngLOG.log

天月呢？怎么不见他人呢~

使用金山急救箱:http://labs.duba.net/jjx.shtml
系统已经损坏得差不多了,如果楼主愿意,还是重装系统吧.

金山装了，用不了。点了没反映

把病毒，杀干净

再到http://e.ys168.com/?anding

01_下载comres.dll 774KB
粘到C:\windows\system32文件夹中

重启

关键在于，杀完毒后重启又有一堆的毒

下载附件，解压后复制userinit.exe粘贴到c:\windows\system32文件夹内，提示替换时选“是”；

1.这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

c:\docume~1\admini~1\locals~1\temp\600879
c:\windows\fonts\juxfqjdwmfqehcy2.fon
c:\windows\system32\emhnpubaaf7xjuxbbdxsg.dll
c:\docume~1\admini~1\locals~1\temp\op51598.z

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{E3531A16-FFEA-416F-82DF-32FEDE02EABF}] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[aav / aav] 

做完重新扫描份日志上来  怕这段时间又是一堆出来了

做完下载以下软件清理一次并强烈建议安装一款杀毒软件并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

附件: userinit.rar

我刚重启了，重扫一个上来看看吧~~
我想肯定有一个毒挂在系统上面。每次重启都会有新的毒出来~~
声明下：
我曾用瑞星全盘杀过，结果杀完后重启。到了进入界面时，还没进入桌面时就会出现关机，而且到了关机时有个保存文件的框，之后又跑到要进入桌面之前的网络连接的框框，一直这样死循环。

附件: SREngLOG新.log

再次建议一遍楼主，还是重装吧，这样即使搞好了系统也都弄得很乱了

sreng-系统修复-高级修复-自动修复（高强修复级别）
清理助手下载
安装后，升级清理助手，完整扫描
清理系统

userinit.exe之前被感染

瑞星可能把它删除或者隔离了 所以造成反复注销无法登陆系统

替换后现在已经正常了 

计算机防御是关键