瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求救啊
希达巴杰 - 2009-8-17 15:53:00
中病毒了,瑞星也开不了了

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; CIBA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

附件: SREngLOG.log
希达巴杰 - 2009-8-17 16:04:00
大概要多久咧??
是昔流芳 - 2009-8-17 16:04:00
先用一下金山急救箱
http://labs.duba.net/jjx.shtml
QoS - 2009-8-17 16:05:00
好像用过急救箱了。
是昔流芳 - 2009-8-17 16:07:00
:kaka6: 还真是……
xyz002 - 2009-8-17 16:14:00
点击下载(映像劫持清除管理工具)
修复映像劫持
[IFEO[360hotfix.exe]]    <ntsd -d>
[IFEO[360rpt.exe]]    <ntsd -d>
[IFEO[360safe.exe]]    <ntsd -d>
[IFEO[360safebox.exe]]    <ntsd -d>
[IFEO[360tray.exe]]    <ntsd -d>
[IFEO[agentsvr.exe]]    <ntsd -d>
[IFEO[apvxdwin.exe]]    <ntsd -d>
[IFEO[ast.exe]]    <ntsd -d>
[IFEO[avcenter.exe]]    <ntsd -d>
[IFEO[avengine.exe]]    <ntsd -d>
[IFEO[avgnt.exe]]    <ntsd -d>
[IFEO[avguard.exe]]    <ntsd -d>
[IFEO[avltmain.exe]]    <ntsd -d>
[IFEO[avp.exe]]    <ntsd -d>
[IFEO[avp32.exe]]    <ntsd -d>
[IFEO[avtask.exe]]    <ntsd -d>
[IFEO[bdagent.exe]]    <ntsd -d>
[IFEO[bdwizreg.exe]]    <ntsd -d>
[IFEO[boxmod.exe]]    <ntsd -d>
[IFEO[ccapp.exe]]    <ntsd -d>
[IFEO[ccenter.exe]]    <ntsd -d>
[IFEO[ccevtmgr.exe]]    <ntsd -d>
[IFEO[ccregvfy.exe]]    <ntsd -d>
[IFEO[ccsetmgr.exe]]    <ntsd -d>
[IFEO[cqw32.exe]]    <ntsd -d>
[IFEO[DrvAnti.exe]]    <ntsd -d>
[IFEO[egui.exe]]    <ntsd -d>
[IFEO[ekrn.exe]]    <ntsd -d>
[IFEO[enc98.EXE]]    <ntsd -d>
[IFEO[extdb.exe]]    <ntsd -d>
[IFEO[frameworkservice.exe]]    <ntsd -d>
[IFEO[frwstub.exe]]    <ntsd -d>
[IFEO[guardfield.exe]]    <ntsd -d>
[IFEO[iparmor.exe]]    <ntsd -d>
[IFEO[kaccore.exe]]    <ntsd -d>
[IFEO[kasmain.exe]]    <ntsd -d>
[IFEO[kav32.exe]]    <ntsd -d>
[IFEO[kavstart.exe]]    <ntsd -d>
[IFEO[kavsvc.exe]]    <ntsd -d>
[IFEO[kavsvcui.exe]]    <ntsd -d>
[IFEO[kislnchr.exe]]    <ntsd -d>
[IFEO[kissvc.exe]]    <ntsd -d>
[IFEO[kmailmon.exe]]    <ntsd -d>
[IFEO[knownsvr.exe]]    <ntsd -d>
[IFEO[kpfw32.exe]]    <ntsd -d>
[IFEO[kpfwsvc.exe]]    <ntsd -d>
[IFEO[kregex.exe]]    <ntsd -d>
[IFEO[kvfw.exe]]    <ntsd -d>
[IFEO[kvmonxp.exe]]    <ntsd -d>
[IFEO[kvmonxp.kxp]]    <ntsd -d>
[IFEO[kvol.exe]]    <ntsd -d>
[IFEO[kvprescan.exe]]    <ntsd -d>
[IFEO[kvsrvxp.exe]]    <ntsd -d>
[IFEO[kvwsc.exe]]    <ntsd -d>
[IFEO[kvxp.kxp]]    <ntsd -d>
[IFEO[kwatch.exe]]    <ntsd -d>
[IFEO[livesrv.exe]]    <ntsd -d>
[IFEO[mcagent.exe]]    <ntsd -d>
[IFEO[mcdash.exe]]    <ntsd -d>
[IFEO[mcdetect.exe]]    <ntsd -d>
[IFEO[mcshield.exe]]    <ntsd -d>
[IFEO[mctskshd.exe]]    <ntsd -d>
[IFEO[mcvsescn.exe]]    <ntsd -d>
[IFEO[mcvsshld.exe]]    <ntsd -d>
[IFEO[mghtml.exe]]    <ntsd -d>
[IFEO[naprdmgr.exe]]    <ntsd -d>
[IFEO[navapsvc.exe]]    <ntsd -d>
[IFEO[navapw32.exe]]    <ntsd -d>
[IFEO[navw32.exe]]    <ntsd -d>
[IFEO[nmain.exe]]    <ntsd -d>
[IFEO[nod32.exe]]    <ntsd -d>
[IFEO[nod32krn.exe]]    <ntsd -d>
[IFEO[nod32kui.exe]]    <ntsd -d>
[IFEO[npfmntor.exe]]    <ntsd -d>
[IFEO[oasclnt.exe]]    <ntsd -d>
[IFEO[pavsrv51.exe]]    <ntsd -d>
[IFEO[pfw.exe]]    <ntsd -d>
[IFEO[psctrls.exe]]    <ntsd -d>
[IFEO[psimreal.exe]]    <ntsd -d>
[IFEO[psimsvc.exe]]    <ntsd -d>
[IFEO[qqdoctormain.exe]]    <ntsd -d>
[IFEO[ras.exe]]    <ntsd -d>
[IFEO[ravmon.exe]]    <ntsd -d>
[IFEO[ravmond.exe]]    <ntsd -d>
[IFEO[ravstub.exe]]    <ntsd -d>
[IFEO[ravtask.exe]]    <ntsd -d>
[IFEO[rfwcfg.exe]]    <ntsd -d>
[IFEO[rfwmain.exe]]    <ntsd -d>
[IFEO[rfwproxy.exe]]    <ntsd -d>
[IFEO[rfwsrv.exe]]    <ntsd -d>
[IFEO[rsagent.exe]]    <ntsd -d>
[IFEO[rsmain.exe]]    <ntsd -d>
[IFEO[rsnetsvr.exe]]    <ntsd -d>
[IFEO[rssafety.exe]]    <ntsd -d>
[IFEO[rstray.exe]]    <ntsd -d>
[IFEO[safebank.exe]]    <ntsd -d>
[IFEO[safeboxtray.exe]]    <ntsd -d>
[IFEO[scan32.exe]]    <ntsd -d>
[IFEO[scanfrm.exe]]    <ntsd -d>
[IFEO[sched.exe]]    <ntsd -d>
[IFEO[seccenter.exe]]    <ntsd -d>
[IFEO[secnotifier.exe]]    <ntsd -d>
[IFEO[SetupLD.exe]]    <ntsd -d>
[IFEO[shstat.exe]]    <ntsd -d>
[IFEO[smartup.exe]]    <ntsd -d>
[IFEO[sndsrvc.exe]]    <ntsd -d>
[IFEO[spbbcsvc.exe]]    <ntsd -d>
[IFEO[symlcsvc.exe]]    <ntsd -d>
[IFEO[tbmon.exe]]    <ntsd -d>
[IFEO[uihost.exe]]    <ntsd -d>
[IFEO[ulibcfg.exe]]    <ntsd -d>
[IFEO[updaterui.exe]]    <ntsd -d>
[IFEO[uplive.exe]]    <ntsd -d>
[IFEO[vcr32.exe]]    <ntsd -d>
[IFEO[vcrmon.exe]]    <ntsd -d>
[IFEO[vptray.exe]]    <ntsd -d>
[IFEO[vsserv.exe]]    <ntsd -d>
[IFEO[vstskmgr.exe]]    <ntsd -d>
[IFEO[webproxy.exe]]    <ntsd -d>
[IFEO[xcommsvr.exe]]    <ntsd -d>
[IFEO[xnlscn.exe]]    <ntsd -d>
[IFEO[修复工具.]]    <ntsd -d>
merrk_chuan - 2009-8-17 16:14:00
哎,又是个系统被破坏的够呛的,LZ你还是重装系统吧,手杀修复比较费事
重装完系统后,不要打开任何非系统盘和任何软件,直接安装瑞星,升级瑞星 然后断网全盘查杀
daemonz - 2009-8-17 16:19:00
同样先建议重装

不愿重装的话,如下操作
找正常sp3的系统文件替换:
c:\windows\system32\comres.dll  http://bbs.ikaka.com/showtopic-8417665.aspx
c:\windows\ssystem32\appmgmts.dll
c:\windows\system32\userinit.exe

建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\fonts\bqgc5yhmsd4yd.fon
c:\windows\system32\6to4.dll
c:\windows\system32\appmgmts.dll
c:\windows\system32\bmsg6pdmd4ht.dll
c:\windows\system32\ias.dll
c:\windows\system32\iprip.dll
c:\windows\system32\irmon.dll
c:\windows\system32\jy8sgunwqbzb3x2bphy.dll
c:\windows\system32\nwcworkstation.dll
c:\windows\system32\nwsapagent.dll
c:\windows\system32\wmdmpmsp.dll
c:\windows\system32\xatgkbdb3yxc.dll
c:\docume~1\admini~1\locals~1\temp\tmp.tmp
c:\windows\system\nb9ming32c090423.dll
c:\windows\system\ming9b090423.exe
c:\windows\system32\6to4.dll
c:\windows\system32\wmdmpmsp.dll
c:\windows\system32\mspmsnsv.dll
c:\windows\system32\rasauto.dll
c:\windows\system32\nwsapagent.dll
c:\windows\system32\nwcworkstation.dll
c:\windows\system32\ntmssvc.dll
c:\windows\system32\irmon.dll
c:\windows\system32\iprip.dll
c:\windows\system32\ias.dll
c:\windows\system32\ersvc.dll
c:\windows\system32\qmgr.dll
c:\windows\system32\drivers\wmisvc.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{8E6D4583-0FA1-41B2-BAAA-63352E6333CA}]    <C:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll>
[{737858A9-9AEA-4838-9B49-54DA731F7F37}]    <C:\WINDOWS\system32\BMsg6pdMD4ht.dll>
[{5C901F36-6395-4667-AF85-B1B64AD3693F}]    <C:\WINDOWS\system32\XatgKbDb3Yxc.dll>
[{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}]    <C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>
[ming9bstart]    <C:\WINDOWS\system\ming9b090423.exe>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[6to4 / 6to4]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\6to4.dll>
[WmdmPmSp / WmdmPmSp]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\WmdmPmSp.dll>
[Portable Media Serial Number Service / WmdmPmSN]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MsPMSNSv.dll>
[Remote Access Auto Connection Manager / RasAuto]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\rasauto.dll>
[Nwsapagent / Nwsapagent]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Nwsapagent.dll>
[NWCWorkstation / NWCWorkstation]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\NWCWorkstation.dll>
[Removable Storage / NtmsSvc]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\system32\ntmssvc.dll>
[Irmon / Irmon]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Irmon.dll>
[Iprip / Iprip]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Iprip.dll>
[Ias / Ias]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Ias.dll>
[Error Reporting Service / ERSvc]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\ersvc.dll>
[Background Intelligent Transfer Service / BITS]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\qmgr.dll>
[Application Management / AppMgmt]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[WmiSvc / WmiSvc]    <\??\C:\WINDOWS\system32\drivers\WmiSvc.sys>

修复映像劫持
QoS - 2009-8-17 16:22:00
c:\windows\system32\appmgmts.dll
c:\windows\system32\iprip.dll
C:\WINDOWS\System32\COMRes.dll
C:\WINDOWS\system32\userinit.exe

这四个都得替换!
merrk_chuan - 2009-8-17 16:23:00
被感染的系统文件可不止那一个啊,服务项里有好几个也是的,不能直接删除
QoS - 2009-8-17 16:24:00
根据7楼说的,重装吧,好多系统文件替换!
是昔流芳 - 2009-8-17 16:24:00
ias.dll也不能随便删吧
merrk_chuan - 2009-8-17 16:27:00
ias.dll 这个不是系统文件吧
daemonz - 2009-8-17 16:28:00
嗯,谢谢提醒,还真是不好判断啊
学飞的龙 - 2009-8-17 16:40:00
所要替换的文件请楼主下载附件

附件: 文件替换.rar
是昔流芳 - 2009-8-17 16:42:00
未知 - Service: IAS [管理与IETF RADIUS 协议兼容的访问服务器发送的虚拟专用网络 (VPN)、拨号、802.1x无线或以太网交换连接尝试的验证、授权、审核和记帐。如果此服务被停用,用户可能无法获得到网络的VPN、拨号、无线或以太网连接。如果此服务被禁用,任何依赖它的服务将无法启动。] - C:\WINDOWS\System32\ias.dll - (not running)
merrk_chuan - 2009-8-17 17:27:00
感谢指教,查了下确实有ias.dll,不过也查到有病毒往system32里释放ias.dll的,我不明白的是,从日志里看这个文件的名称项是ias/ias, 如果是正常的系统文件,名称一般不会和文件名一样的吧,感觉和里面病毒文件命名一样,所以认为它是病毒文件的,还望指点下,谢谢:kaka1:
希达巴杰 - 2009-8-17 17:33:00
我刚没开机,还不知道有那么多人回复呢
谢谢各位!!~我就是不想重装,
因为不只要装系统,还要装好多东西不过算了,重装吧
重装安上瑞星就OK了吗?
QoS - 2009-8-17 17:37:00
重装完系统后,不要打开任何非系统盘和任何软件,直接安装瑞星,升级瑞星 然后断网全盘查杀
是昔流芳 - 2009-8-17 17:38:00
嗯,这个ias.dll是被替换还是病毒生成的很难说。如果是病毒释放的,那么直接删掉就没问题了。假如是被替换的,那么删掉肯定是有些功能用不了,所以保险起见还是替换下好,这样也算是对求助者负责了。:kaka1:
merrk_chuan - 2009-8-17 17:46:00
恩,感谢指教哈,谢谢,看来下次要更小心点了,以前都是直接清理它的:kaka12:

PS:在重装前麻烦LZ提取下c:\windows\system32\ias.dll,发到可疑文件交流区
希达巴杰 - 2009-8-18 17:02:00
不好意思,我昨天说完我就重装了,没提取到文件,
谢谢大家帮忙!~
弱弱的问句,其实那个日志怎么看的啊?
是昔流芳 - 2009-8-18 18:10:00
看看http://bbs.ikaka.com/showtopic-8504098-1.aspx吧,日志多看就能懂了
1
查看完整版本: 求救啊
© 2000 - 2025 Rising Corp. Ltd.