哭了.....我中毒了 bbs.ikaka.com

MoRA - 2009-10-31 1:09:00

用了瑞星杀毒杀了半天然后卡卡和360都无法安装
卡卡双击没反映 360是双击自动消失了
好不容易都杀完了然后重启说 cmo什么的dll缺少
QQ之类的软件挨个弹出说缺少 cmo什么.dll的那个
就去网上找有了也放好了本来以为好了
之后弹出一堆什么 wwwwww.exe的提示
看不懂上网搜也搜不到杀毒软件什么都啥不出来了
清流氓软件的都安装不了
百度打不开贴吧和知道
上360或者瑞星的求助论坛就自动弹到雅虎中国

请救命.谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyinSetup 620)

附件: SREngLOG.log

MoRA - 2009-10-31 1:10:00

还有 IE的收藏里我的收藏网站的顺序被改了
没有多其他的收藏只是顺序变了
该不会去一改然后就自动又变了

豪斯登堡新郎 - 2009-10-31 1:52:00

http://bbs.ikaka.com/attachment.aspx?attachmentid=518971

下载这个工具扫描日志传上来

MoRA - 2009-10-31 2:19:00

只能上传附件内容太多了贴上来

附件: SREngLOG.log

MoRA - 2009-10-31 2:20:00

又发现一个特点就是我一看视频什么的就显示ie错误
点确定或者取消 IE都会自动关闭

MoRA - 2009-10-31 2:22:00

我一点贴吧或者知道就会变成
http://www.tuchuan.com\d/33333333333333333333.jpg
这样原来不是这样的
原来百度是首页就是普通的那种
可是一点贴吧或者知道就变成这种了
他有个蓝条不知道为什么
不管怎么样都是进不去

MoRA - 2009-10-31 4:41:00

用QQ的时候有时候会弹出 host表被改不懂什么意思
现在依然会没事来几个窗口
最主要是 IE看视频的时候在tudouyouku或者什么sina视频
都会弹出错误然后点确定就自动关闭了

其他的到没什么了

现在的反映就是
1百度贴吧和百度知道进不去
2看不到视频会自动关闭网页（视频会播放如果不管那个错误视频可以看到完）
3上一些网站会自动弹到雅虎中国
4卡卡助手和360或者超级兔子之类的杀流氓软件的软件安装不了点了没反映要不就是自动消失
5IE收藏里面的顺序改变了不知道为什么我手动把他改回原来的位置他又自动变回去了
6经常弹wwwwww.exe的什么提示一弹弹10几个不过没其他大碍不知道是什么
我确定是6个W然后.exe

瑞星已经杀不出毒了安全模式也杀不出来了

天月来了 - 2009-10-31 8:22:00

你这个稍微麻烦点。

你必须先这里下载超级巡警文件暴力删除工具，抑制文件再生删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=489118

删除：
C:\WINDOWS\system32\mxaut.dll

删除后立即重启电脑，继续下面操作：

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载，

附件: 新助手.rar (2009-10-31 8:22:02, 116.18 K)
该附件被下载次数 257

将附件解压至桌面，启动里面的程序后，点击“开始处理”，然后耐心等待，程序提示重启电脑时，立即重启。

记住不要让任何安全软件影响本程序的运行。

附件内附有程序将要处理的日志中相关异常项目文本。使用附件前请查看是否程序要处理的项目有你正常的东西，如果存在正常项目，请不要使用我的附件。

本程序运行后将向系统盘根目录创建123文件夹，并在那文件夹内创建运行日志LogAction.log文件，可以查看运行情况。

进系统后下载W i n d o w s 清理助手，升级清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

天月来了 - 2009-10-31 8:24:00

愿意的话，去我置顶工具贴下载冰刃或Wsyscheck工具

尝试在他们的文件管理内找到那个C:\WINDOWS\system32\mxaut.dll文件，压缩发来。

瑞星需要加库

快乐未来雨 - 2009-10-31 8:43:00

1.替换C:\WINDOWS\system32\userinit.exe
2.删除注册表
<{B61C60B5-D82D-83D8-94EA-3E83D72C72C7}><C:\WINDOWS\system32\BOREG.dll>
<{1B50A5F9-2C61-D71C-F93E-82C71C71C60B}><C:\WINDOWS\system32\LNPCE.dll>
<{F93E83D7-0A4F-B5FA-D71C-60A50B5FA4E9}><C:\WINDOWS\system32\ZBDQS.dll>
<{E82D72C6-F93E-A4EA-C60B-5F94FA4E93D8}><C:\WINDOWS\system32\MOQDF.dll>
<{D71C61B6-E82E-93E9-B5FA-4E84E93D82C7}><C:\WINDOWS\system32\NPREG.dll>
<{C60B50A5-D72D-82D8-A4E9-3D83D82C71B6}><C:\WINDOWS\system32\OQSFH.dll>
<{A4E93E93-B60B-61B6-82C7-1C61B60A5F94}><C:\WINDOWS\system32\CEGTV.dll>
<{93D82E82-A5FA-60A5-71B6-0B50A5F94E84}><C:\WINDOWS\system32\DFHUW.dll>
<{82C72D71-A4E9-5F94-60A5-0A4F94E83D83}><C:\WINDOWS\system32\KMOBE.dll>
<{0A4F94E8-1B50-C60B-E82D-71B60C60B5FA}><C:\WINDOWS\system32\SUWJL.dll>
<{B5FA4FA4-C61C-72C7-93D8-2C72C71B60A5}><C:\WINDOWS\system32\VXZMO.dll>
<{71B61C60-93D8-4E83-5F94-F93E83D72C72}><C:\WINDOWS\system32\RTVIL.dll>
<{60A60B5F-82C7-3D72-4E83-E82D72C61C61}><C:\WINDOWS\system32\YACQS.dll>
<{5FA5FA4E-71B6-2C61-3D73-D71C61B50B50}><C:\WINDOWS\system32\RTWJL.dll>
<{4E94E93D-60A5-1B50-2C72-C60B50A40A4F}><C:\WINDOWS\system32\YADQS.dll>
<{3E83D82C-5F94-0A4F-1B61-B5FA4F94F93E}><C:\WINDOWS\system32\FIKXZ.dll>
<{2C61B60A-3D72-E82D-FA4F-93D82D82D71C}><C:\WINDOWS\system32\ACERT.dll>
<{D71C60B6-E82E-93E9-B5FA-4E84E83D82C7}><C:\WINDOWS\system32\ZBDQS.dll>
<{C60B5FA5-D72D-82D8-A4E9-3D83D72C71B6}><C:\WINDOWS\system32\GIKXZ.dll>
<{B5FA4EA4-C61C-72C7-93D8-2C72C61B60A5}><C:\WINDOWS\system32\NPREG.dll>
<{A4E93E93-B60B-61B6-82C7-1C61B50A5F94}><C:\WINDOWS\system32\UWYLN.dll>
<{93D82D82-A5FA-60A5-71B6-0B50A4F94E84}><C:\WINDOWS\system32\BDFSU.dll>
3.删除服务
[wwwwwwww / wwwwww][Running/Auto Start]
<C:\Documents and Settings\Administrator\Application Data\wwwwww\wwwwww.exe>
4.删除驱动程序
<system32\drivers\AsIO.sys>
5.删除浏览器加载项
{265D6897-C6EC-4A41-B787-B01053B1B6B4} <C:\WINDOWS\system32\VMecwYUcqC.dll, N/A>
{2C62C71B-4E83-F93E-0A4F-A4E93E82D82D} <C:\WINDOWS\system32\EGIWY.dll, N/A>
{3D72D82C-5F94-0A4F-1B50-B5FA4F93E83E} <C:\WINDOWS\system32\XZBOR.dll, N/A>
{4E83E93D-60A5-1B50-2C61-C60B50A4F94F} <C:\WINDOWS\system32\WYANQ.dll, N/A>
{51B60A5F-72C7-2D72-3E94-D82D71C71C61} <C:\WINDOWS\system32\VJLYA.dll, N/A>
{60A5FA5F-72C7-2D72-4E83-D82D72C61B50} <C:\WINDOWS\system32\IKMZB.dll, N/A>
{71B60B60-82D8-3E83-5F94-E83E83D72C61} <C:\WINDOWS\system32\HJLYA.dll, N/A>
{82C71C61-93E9-4E94-60A5-F94F94E83D72} <C:\WINDOWS\system32\GIKXZ.dll, N/A>
{93D82D72-A4EA-5FA5-71B6-0A40A5F94E83} <C:\WINDOWS\system32\TVXKM.dll, N/A>
{A4E93E82-B5FA-60A6-82C7-1B50B60A5F94} <C:\WINDOWS\system32\MOQDF.dll, N/A>
{B5FA4F93-C60B-71B6-93D8-2C61C71B60A5} <C:\WINDOWS\system32\FHJWY.dll, N/A>
6.暴力删除/正在运行的进程
[C:\WINDOWS\system32\mxaut.dll]
[C:\WINDOWS\system32\AsIo.dll]
7.重置Winsock
8.修复API HOOK
9.上报可疑给官方：
<system32\DRIVERS\asyncmac.sys>
[C:\WINDOWS\system32\qt-dx3.dll]

快乐未来雨 - 2009-10-31 8:44:00

哎~~晕，回帖慢了~~以后步骤不能这么多了~~

夲號ヱ被ジ盜 - 2009-10-31 12:48:00

文件提取处理器.rar

右键----目标另存为下载
解压缩后用批量文件提取器
那个wwwwww.exe必须弄来:kaka15: ，别的无所谓
提取后复制到桌面上并压缩成压缩文件附件发上来

C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\VMecwYUcqC.dll
C:\WINDOWS\system32\EGIWY.dll
C:\WINDOWS\system32\XZBOR.dll
C:\WINDOWS\system32\WYANQ.dll
C:\WINDOWS\system32\VJLYA.dll
C:\WINDOWS\system32\IKMZB.dll
C:\WINDOWS\system32\HJLYA.dll
C:\WINDOWS\system32\GIKXZ.dll
C:\WINDOWS\system32\TVXKM.dll
C:\WINDOWS\system32\MOQDF.dll
C:\WINDOWS\system32\FHJWY.dll
C:\WINDOWS\system32\qt-dx3.dll
C:\WINDOWS\system32\mxaut.dll
C:\Documents and Settings\Administrator\Application Data\wwwwww\wwwwww.exe

用附件工具(IS)
（解压缩运行123456.exe)
检查SSDT的红色标记出来的文件指向什么并截图

附件: w.zip

MoRA - 2009-10-31 18:26:00

我去试试天月来了的方法快乐未来雨的方法我有点听不懂

还有就是请问C:\WINDOWS\system32\mxaut.dll 怎么尝试压缩
是在强力删除前还是强力删除之后
我还没强力删除的时候我试了把他压缩他失败了
反正压缩不了

MoRA - 2009-10-31 18:28:00

先谢谢你们夲號ヱ被ジ盜
C:\WINDOWS\system32\qt-dx3.dll
C:\WINDOWS\system32\mxaut.dll
这两个我电脑里都有可是怎么看指向我不太会
wwwwww.exe怎么弄我也不会他只是弹窗
我怎么找到他

夲號ヱ被ジ盜 - 2009-10-31 18:42:00

如果没重要东西的话
首先建议重装

在桌面上建个文件夹
复制那些路径
如图提取
提取后在那文件夹点右键--添加到WinRAR文件
然后一路NEXT
附件上传- -！

带红色的
记下来或者截图发上来
看看指向哪
尝试找：
NTCreateFileW
NTCreateFileA
NTRegOpenKeyExA
NTRegEnumValueW
NTRegEnumValueA
看看是否为红色标记
是红色标记的话
右键----恢复
如果是HookHelp.sys的话就不用管它

aaccbbdd - 2009-10-31 18:44:00

真的
不如重装系统
即使操作完
系统也挂了一半

快乐未来雨 - 2009-10-31 18:51:00

哎，你还是用天月说的处理吧！！不用他说的，你可做下麻烦事了！！他可是有经验的老手哦！！

MoRA - 2009-10-31 19:43:00

我不想从装系统= =
如果装也只装C盘这样的话应该也没多大用吧
= =系统里很多东西都是我收藏很久的
我想下载也没地方弄还是不弄好了~~~~

aaccbbdd - 2009-10-31 20:49:00

拷出来
或者挪到D盘E盘 F盘即可

天月来了 - 2009-11-1 7:48:00

什么乱七八糟的:kaka6:

你不好复制那文件，就不复制呗

直接去用超级巡警删除工具删除呗

然后继续我说的其他操作呗

哪来的那么复杂哟:kaka6:

MoRA - 2009-11-2 1:03:00

真的很谢谢按照天月的方法弄好了
貌似= =是小毛病现在一点毛病都没啦哈哈哈哈
谢谢大家

附件: 新建文件夹 (2).rar

MoRA - 2009-11-2 1:05:00

这是文件提取的那个我发上来了
可是我是弄好了之后才提取的又没有问题啊
反正是先按照天月的方法弄好了之后提取的

第二个那是什么指向的我真不会弄
还是谢谢大家谢谢大家

快乐未来雨 - 2009-11-2 9:26:00

发上来的那些东西是为了入库~~问题既然已解决，请把求助改为已解决~~

红绿灯灯 - 2009-11-2 10:16:00

请问一句：我也了这个病毒了，昨天手工杀了一晚，还搞不掂，上网也查不到这个病毒资料，请问高手谁知道这个病毒叫什么名字？

快乐未来雨 - 2009-11-2 10:25:00

~~这种病毒命名，很难定义~~因为每家杀软，都有对相同的病毒，不同的命名，所以给你说不准~~如果，想知道具体名字，在线扫描上，会给你一个多家杀软报毒的信息~~

瑞星卡卡安全论坛