瑞星卡卡安全论坛

机子莫名出现问题，开始发展U盘上文件夹大小是169KB，觉得不对，就用瑞星杀毒，开始出现了4个病毒，接着就是瑞星自动关闭，再也没有开过，360也打开不了了。接着打算进安全模式杀毒，不知道怎么的，进不去。
  求解啊，不知大家有没有碰到过这种病毒没有

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; MAXTHON 2.0)

开始--运行WinRAR
找到U盘根目录
如H:\
看看有没有文件夹图标
且后边带EXE
这样的压缩发上来一个.
Next:
用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

我刚看了下，文件夹都是169KB，文件应该被删除，在线杀毒出有ukkjd.all病毒。关机是出现wangmaga的进程

附件: SREngLOG.log

刚看了下，最后的隐藏进程是wuauolt.EXE，在安全模式可以杀的，但是我进不了安全模式，这个问题比较大

body=1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
help=使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。



c:\windows\system32\ukkjd.dll
c:\documents and settings\all users\「开始」菜单\程序\启动\ukkjd.lnk
C:\WINDOWS\system32\wuauolt.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[IFEO[alogserv.exe]]    <ntsd -d>
[IFEO[avconsol.exe]]    <ntsd -d>
[IFEO[avp.exe]]    <ntsd -d>
[IFEO[avsynmgr.exe]]    <ntsd -d>
[IFEO[CCenter.exe]]    <ntsd -d>
[IFEO[ccRegVfy.exe]]    <ntsd -d>
[IFEO[DSMain.exe]]    <ntsd -d>
[IFEO[FYFireWall.exe]]    <ntsd -d>
[IFEO[KavPFW.exe]]    <ntsd -d>
[IFEO[KAVPlus.EXE]]    <ntsd -d>
[IFEO[KAVStart.exe]]    <ntsd -d>
[IFEO[KAVSvc.EXE]]    <ntsd -d>
[IFEO[KMailMon.EXE]]    <ntsd -d>
[IFEO[KPopMon.EXE]]    <ntsd -d>
[IFEO[KPfwSvc.EXE]]    <ntsd -d>
[IFEO[KPopMon.EXE]]    <ntsd -d>
[IFEO[KULANSyn.EXE]]    <ntsd -d>
[IFEO[KWatch.EXE]]    <ntsd -d>
[IFEO[KWatchUI.EXE]]    <ntsd -d>
[IFEO[Navapsvc.exe]]    <ntsd -d>
[IFEO[NPFMntor.exe]]    <ntsd -d>
[IFEO[pfw.exe]]    <ntsd -d>
[IFEO[Rav.exe]]    <ntsd -d>
[IFEO[RavMon.exe]]    <ntsd -d>
[IFEO[RavMonD.exe]]    <ntsd -d>
[IFEO[RavStub.exe]]    <ntsd -d>
[IFEO[RavTask.exe]]    <ntsd -d>
[IFEO[RAVTIMER.EXE]]    <ntsd -d>
[IFEO[rfwmain.exe]]    <ntsd -d>
[IFEO[rfwsrv.exe]]    <ntsd -d>
[IFEO[rsnetsvr.exe]]    <ntsd -d>
[IFEO[RsMain.exe]]    <ntsd -d>
[IFEO[RsTray.exe]]    <ntsd -d>
[IFEO[rtvscan.exe]]    <ntsd -d>
[IFEO[ScanFrm.exe]]    <ntsd -d>
[IFEO[TrojDie.kxp]]    <ntsd -d>
[IFEO[vptray.exe]]    <ntsd -d>
[IFEO[vshwin32.exe]]    <ntsd -d>
[IFEO[vsstat.exe]]    <ntsd -d>
[IFEO[vsmon.exe]]    <ntsd -d>
[IFEO[webscanx.exe]]    <ntsd -d>
[IFEO[襲嬅箰
]]    <ntsd -d>

    启动项目 －－　启动文件夹之如下项删除：
[ukkjd]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ukkjd.lnk>

**************以上分析报告由SREngLog分析助手提供******************
分析：小狮子
时间：2009/11/23
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

用楼上的方法吧....操作简单点


逐个运行：【全部内附说明】
SrengLdr









映像劫持清除管理以及修复工具.rar





wsyscheck0223中文版.rar

如果图中是你需要结束的模块
请按图中操作
找到那模块后点右键
需要结束的模块/进程：
C:\WINDOWS\system32\ukkjd.dll
C:\WINDOWS\system32\wuauolt.exe



文件提取处理器.rar

提取：
【用批量提取】
压缩后附件发上来
C:\WINDOWS\system32\ukkjd.dll
C:\WINDOWS\system32\wuauolt.exe

接着用那工具废掉这两个文件和：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ukkjd.lnk

重启后上不去网的话
SrengLdr工具重置WinSock

我按照要求一步步来的，还是出现了几个情况：
1.c:\documents and settings\all users\「开始」菜单\程序\启动\ukkjd.lnk
添加不进去，说有该文件正在使用，但是进程里面没有这个。
2.另外2个添加进去后删除不了。:kaka7:

http://bbs.ikaka.com/showtopic-8679704.aspx#10090193
5楼的删除方法呢:kaka6:
重启DOS下废掉应该有效吧
一、复制路径






重启后再来日志
瑞星/360拦截此程序请放过
拦截的话可能导致boot.ini错误进不去系统

附件: XDelBox1.8剑盟版.rar

提取的文件

最后的那个。ink文件删不了，一直提示被使用

附件: 桌面.rar

:kaka6: 没看5楼？

看了啊，那个提示删不了啊，你们2位达人的，我都试了

按5楼达人的方法，结果是删除不了

谢谢2位了，我再试试，不行的话，明天再请教。
本才水平有限，不能很好的掌握。

((本附件程序仅适合这位求助者使用，任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载，

附件: 新助手.rar (2009-11-24 7:45:15, 92.87 K)
该附件被下载次数 328

将附件解压至桌面，启动里面的程序后，点击“开始处理”，然后耐心等待，程序提示重启电脑时，立即重启。

记住不要让任何安全软件影响本程序的运行。

附件内附有程序将要处理的日志中相关异常项目文本。使用附件前请查看是否程序要处理的项目有你正常的东西，如果存在正常项目，请不要使用我的附件。

本程序运行后将向系统盘根目录创建123文件夹，并在那文件夹内创建运行日志LogAction.log文件，可以查看运行情况。

愿意的话，请事后将123文件夹内的Backup文件夹压缩发到可疑文件交流区去。

进系统后下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

记住，使用我这附件，必须将你的所有移动存储设备也插入电脑内

程序扫描的时候，将 自动清理掉检测到的病毒文件

需要一段时间的

至于被隐藏的原正常文件夹，用这个工具恢复显示即可：

http://bbs.ikaka.com/attachment.aspx?attachmentid=476329

经过几位达人的悉心教导，终于杀毒软件可以启动了，Worm.Win32.Agent.axa，好像是这种病毒在作怪。麻烦各位了，这个论坛真不错。跟着各位能学到不少啊。

再次对各位的热心帮忙表示感谢！:kaka1: