瑞星卡卡安全论坛

:kaka4:  太后悔了。。特来论坛请高手求救 症状：开机CPU使用率60-90 一联网50个进程 能进普通模式不能进安全模式 安全模式什么XXXXXXXXesc 我就看懂了ESC 点了之后就黑屏了 T T  还有一堆的盗号木马 球高手解救啊啊啊啊 现在运行速度都可以和乌龟媲美

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

没有装杀毒软件？用最新版杀毒软件，断网全盘查杀

:kaka7:  装了瑞星  昨天也试过断网杀  但是今天一搜还是那一堆病毒  文件名都是奇怪的字母  病毒叫Trojan.PSW.Win32.GameOLx.da

断网在安全模式下查杀，用卡卡修复所有系统漏洞

:kaka4:  恳请高手来求救  重装太悲剧 我家还要找人来重装啊啊啊啊

哦，安全模式进不去。。。。使用PE杀毒光盘引导查杀，下面是下载页面
http://zhidao.ikaka.com/Aspx/Html/StaticHtml/296/296551.html

:kaka8:  进不了安全模式  他先是一堆英文字母闪啊闪啊的 然后最下方出现一排英文句子  按ESC就消失了 然后电脑也黑屏了

:kaka3:  这个PE模式是直接双击使用吗？

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

:kaka7:  要刻录？  大哥 我家没有刻录机

                  是这个吗？？

附件: SREngLOG.log

C:\WINDOWS\system32\IMM32.DLL文件，用解压工具WinRAR依路径打开，找到压缩发来看

好了 应该是这个把 班班大大

附件: imm32.rar

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载，

附件: 新助手.rar (2009-11-22 10:19:47, 292.20 K)
该附件被下载次数 164

将附件解压至桌面，启动里面的程序后，点击“开始处理”，然后耐心等待，程序提示重启电脑时，立即重启。

记住不要让任何安全软件影响本程序的运行。

附件内附有程序将要处理的日志中相关异常项目文本。使用附件前请查看是否程序要处理的项目有你正常的东西，如果存在正常项目，请不要使用我的附件。

本程序运行后将向系统盘根目录创建123文件夹，并在那文件夹内创建运行日志LogAction.log文件，可以查看运行情况。

愿意的话，请事后将123文件夹内的Backup文件夹压缩发到可疑文件交流区去。

进系统后下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <autorun_19831028_kingsoftgo><"c:\windows\system32\jkjlonprq.exe"     -at>  []
    
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <mysys><C:\Program Files\Outlook_Express\SOUNDMAN.EXE>  []





[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf>  []
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  [File is missing]
    <{B8D2813F-E0ED-42C6-95DD-2969BD5DC639}><C:\WINDOWS\fonts\AN2Epfv2VzeHreV.fon>  []
    <{9C788311-14C0-4A95-A2BD-560DAD76744E}><C:\WINDOWS\system32\EY5zY7JPqtgQ4mxgERCp5.inf>  [File is missing]
    <{827E2FB4-1047-43DE-848D-E12BB0C97AAB}><C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf>  [File is missing]
    <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>  [File is missing]
    <{61F8AFF1-7583-466C-A772-AAD4B4090514}><C:\Program Files\Internet Explorer\SDK.Dll>  [File is missing]
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  [File is missing]
    <{F181F067-7046-4DCB-993F-200990736305}><C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur>  [File is missing]
    <{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}><C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf>  []
    <{87DE8A1A-96C5-4420-B222-EF998F697CE7}><C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf>  []
    <{7198F428-77AC-4837-AFBE-1E0393575935}><C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf>  [File is missing]
    <{526EB425-7F56-4773-8D70-B8E45AA8E2B6}><C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur>  []
    <{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}><C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf>  [File is missing]
    <{8A6A5B34-D995-4C5D-9338-B5E264B4A87}><C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf>  [File is missing]
    <{73208305-2703-405b-8721-27645ac9a140}><C:\WINDOWS\system32\nWSDWJ9KSzcNsaTKtnSUwv8P7VU.inf>  []





[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><services.exe>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    <IFEO[avp.exe]><services.exe>  [(Verified)Microsoft Windows Component Publisher]








[LogeCenas Services Auto Logs / LogeCena][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k GaLoge-->C:\WINDOWS\system32\Logeukgcvzgg.dll><N/A>





[Vcs support / Vcs][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\Vcs.sys><N/A>
[xx / xx][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~1792740.ex><N/A>
[wohfgpqy / wohfgpqy][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\wohfgpqy.sys><N/A>
[hcpidesk / hcpidesk][Running/]
  <2 - 系统找不到指定的文件。
><N/A>



这么多病毒加载项，你不管，仅仅让楼主发个DLL上来，管用？


——————————————————————————————————————————




[PID: 1472 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
 [C:\WINDOWS\system32\kb021192919.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb121192842.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb221192853.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb32119297.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb521192933.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb621192946.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb821192959.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb921193055.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb1021193015.dll]  [N/A, ]

[C:\WINDOWS\system32\winlib .dll]  [N/A, ]
    [C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf]  [N/A, ]
    [C:\WINDOWS\fonts\AN2Epfv2VzeHreV.fon]  [N/A, ]
    [C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf]  [N/A, ]
    [C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf]  [N/A, ]
    [C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur]  [N/A, ]
    [C:\WINDOWS\system32\nWSDWJ9KSzcNsaTKtnSUwv8P7VU.inf]  [N/A, ]
    [C:\WINDOWS\system32\syslib .dll]  [N/A, ]

\winlogon.exe进程以及大多应用程序进程都插入了这些病毒模块。不清理被插进程？咋搞？
——————————————————————————


[PID: 136 / Administrator][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\31763.exe]  [N/A, ]
    [C:\WINDOWS\system32\kb02285031.dll]  [N/A, ]
    [C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur]  [N/A, ]
    [C:\WINDOWS\system32\kb12284956.dll]  [N/A, ]
    [C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf]  [N/A, ]
    [C:\WINDOWS\system32\nWSDWJ9KSzcNsaTKtnSUwv8P7VU.inf]  [N/A, ]
    [C:\WINDOWS\system32\kb2228508.dll]  [N/A, ]
    [C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf]  [N/A, ]
    [C:\WINDOWS\system32\kb32285019.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb52285044.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb62285057.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb8228518.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb92285157.dll]  [N/A, ]
    [C:\WINDOWS\system32\kb102285120.dll]  [N/A, ]



病毒进程不想法结束，咋搞？


——————————————————————————————


特殊特权被允许： SeLoadDriverPrivilege [PID = 4360, C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SYSLOG.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 4952, C:\PROGRAM FILES\OUTLOOK_EXPRESS\SOUNDMAN.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3760, C:\DOCUMENTS AND SETTINGS\WINDOWS\MSE\MSE.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 136, C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\31763.EXE]

这些已经取得系统特权的病毒进程，不想法灭掉？

哈

老大

那个文件必须先确定是否被病毒感染

然后再考虑其他的呀

因为进程内显示那个系统文件似乎没通过签名校验

必须先确定那文件是否需要替换哟:kaka12:

不错，那个imm32.dll确实是被感染了，comres.dll？是预防万一？
天月15楼已给楼主制作了处理程序。

:kaka3:  各位大大 然后就用瑞星杀毒就可以了吗？ 可是现在我瑞星监控开不起？？？？:kaka2:

comres.dll是预防万一了:kaka12:

一般来说，U被替换，它也必然被恶搞了的:kaka12:

按照我那个处理完

再用清理助手升级清理呀

我那文字，你看不懂？？？

不了解中文的意思？？

瑞星软件全部卸载后重装去，或选择修复试试

:kaka2:  班班大大 补丁所有的已经打好  是要用清理工具查吗？还是用瑞星？

你原来还真的看不懂我在15楼说的那些中文文字的字面表达的意思呀:kaka8:

我晕了

这怎么办呢？？？

我是无奈了，你都看不懂哩:kaka6:

:kaka6:  我用了那个小助手了 。。并且重启  把瑞星还有班班大大你给的那个都升级了一遍 系统补丁也打了 就是不知道接下来用哪个杀  对了 班班大大 那里有几个注册表貌似删除失败？？:kaka3:

:kaka8:  哦  我似乎明白了 用助手清掉那些东西 再用瑞星杀是不是

愿意的话，全盘杀完后，再扫个最新SRENG日志来看

所以步骤都弄好了  麻烦班班看一下

附件: SREngLOG.log

看来弄的还挺麻烦 楼主如果实在杀不了毒  你重新装后 记的安装瑞星 和卡卡助手 把补丁全部打完  避免下次再出现此类情况

日志看不出什么了

u盘里装个pe，然后进去杀毒。