瑞星卡卡安全论坛

如题:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件  (XDELBOX1.8下载)，系统盘非C盘的或是vista系统的建议下载费尔强力木马清除助手删除以下文件(费尔木马强力清除助手下载)：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作（重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files）运行XDelBox前最好卸载所有可移动存储设备。

c:\windows\system32\kb819102742.dll
c:\windows\system32\kb919102622.dll
c:\windows\system32\ar12a40097dll.dll
c:\windows\system32\ar12a80099dll.dll
c:\windows\system32\ar12b309dll.dll
c:\windows\system32\knghknez.dll
c:\windows\system32\mesggedjt.dll
c:\windows\system32\ss12a70096dll.dll
c:\windows\system32\ss12b60096dll.dll
c:\windows\system32\ss12c40088dll.dll
c:\windows\system32\ss12d004dll.dll
c:\windows\system32\ss12d40000dll.dll
c:\windows\system32\t320045.dll
c:\windows\system32\mzvedac.dll
c:\windows\system32\mzxedab.dll
c:\windows\system\av13.tmp
c:\Systesm.exe
d:\Systesm.exe
e:\Systesm.exe
f:\Systesm.exe
g:\Systesm.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{5A041F13-A111-12B6-B0CF-F99818AA68A5}]    <C:\WINDOWS\system32\ss12B60096dll.dll>
[{5A041F13-A111-12B0-B0CF-F99818AA68A5}]    <C:\WINDOWS\system32\ss12D004dll.dll>
[{5A041F13-A111-12A4-B0CF-F99818AA68A5}]    <C:\WINDOWS\system32\ar12A40097dll.dll>
[{EE9EBB5C-5B4C-48d3-8BDD-0EDBF4F720B4}]    <C:\WINDOWS\system32\knghknez.dll>
[{5A041F13-A111-12B3-B0CF-F99818AA68A5}]    <C:\WINDOWS\system32\ar12B309dll.dll>
[103234]    <C:\WINDOWS\system32\ss12D004dll.dll>
[122468]    <C:\WINDOWS\system32\ar12A80099dll.dll>
[132140]    <C:\WINDOWS\system32\ss12B60096dll.dll>
[143328]    <C:\WINDOWS\system32\ss12D004dll.dll>
[148125]    <C:\WINDOWS\system32\ss12D004dll.dll>
[154015]    <C:\WINDOWS\system32\ar12A40097dll.dll>
[knghknez.dll]    <C:\WINDOWS\system32\knghknez.dll>
[186046]    <C:\WINDOWS\system32\ar12B309dll.dll>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\ss12B60096dll.dll>
[]    <C:\WINDOWS\system32\ar12B309dll.dll>
[]    <C:\WINDOWS\system32\ss12D004dll.dll>
[]    <C:\WINDOWS\system32\ar12A80099dll.dll>
[]    <C:\WINDOWS\system32\ar12A40097dll.dll>

3.使用正常文件替换以下系统文件。

c:\windows\system32\comres.dll
c:\windows\system32\rpcss.dll
c:\windows\system32\lpk.dll

3.以下文件上传至VirSCAN.org在线扫描，确认为病毒后使用正常文件替换。

c:\windows\system32\imm32.dll

**************以上分析报告由SREngLog分析助手提供******************
分析：是昔流芳
时间：2009-12-19
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

最后清理一下映像劫持

暴力删除：
---------------------------------------------------------------------
C:\Program Files\Common Files\Systesm.exe
--------------------------------------------------------------------------
<AppInit_DLLs><ar12A80099dll.dll,ar12A40097dll.dll,ss12A70096dll.dll,ar12B309dll.dll,ss12C40088dll.dll,ss12D40000dll.dll,ss12D004dll.dll,ss12B60096dll.dll>
改为：<AppInit_DLLs><>
------------------------------------------------------------------------
    C:\WINDOWS\system32\ar12A80099dll.dll> 
    C:\WINDOWS\system32\ss12B60096dll.dll> 
    C:\WINDOWS\system32\ss12D004dll.dll> 
    C:\WINDOWS\system32\ar12A40097dll.dll>
    C:\WINDOWS\system32\knghknez.dll> 
    C:\WINDOWS\system32\ar12B309dll.dll>
-----------------------------------------------------------------------
用映像劫持工具修复
------------------------------------------------------------------------
浏览器插件中清理：
<C:\WINDOWS\system32\ar12A40097dll.dll, N/A
<C:\WINDOWS\system32\ar12A80099dll.dll, N/A>
<C:\WINDOWS\system32\ss12D004dll.dll, N/A>
<C:\WINDOWS\system32\ar12B309dll.dll, N/A>
<C:\WINDOWS\system32\ss12B60096dll.dll, N/A>
-------------------------------------------------------------------------
  \system32\kb819102742.dll]
  \system32\kb919102622.dll]
-------------------------------------------------------------------------
替换：
[C:\WINDOWS\system32\COMRes.dll
-------------------------------------------------------------------------
[C:\]
[Systesm.exe
[D:\]
Systesm.exe
[E:\]
[Systesm.exe
[F:\]
Systesm.exe
[G:\]
Systesm.exe

你至少也整理清楚点:kaka6:

这个c:\windows\system32\imm32.dll文件是肯定需要替换的:kaka6:

启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[DCOM Server Process Launcher / DcomLaunch]    <C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll>
[Remote Procedure Call (RPC) / RpcSs]    :kaka2:

各分区autorun.inf要删除
映像劫持要修复

你那

启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：

都是不能禁的哟:kaka6:

可以试试瑞星2010，杀毒效果不错，如果严重的话，建议在安全模式下查杀看看。