电脑中了顽固性木马，查杀无效，电脑运行速度超慢，附日志 bbs.ikaka.com

独寻 - 2010-9-16 9:17:00

电脑中了顽固性木马，查杀无效，电脑运行速度超慢，
没次开机杀度软件回自动查杀，但电脑运行速度依旧很慢，再开机的时候木马又死灰复燃。大师门帮我看看不啊

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

帅哥坐车不用票 - 2010-9-16 9:24:00

使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\docume~1\admini~1\locals~1\temp\100234g07.dll
c:\docume~1\admini~1\locals~1\temp\113421w25.dll
c:\docume~1\admini~1\locals~1\temp\1ab10t23.dll
c:\docume~1\admini~1\locals~1\temp\67562m17.dll
c:\docume~1\admini~1\locals~1\temp\72828q20.dll
c:\docume~1\admini~1\locals~1\temp\85031q19.dll
c:\docume~1\admini~1\locals~1\temp\88140m13.dll
c:\docume~1\admini~1\locals~1\temp\foobar.dat
c:\docume~1\admini~1\locals~1\temp\ispeak.dat
c:\docume~1\admini~1\locals~1\temp\kmplayer.dat
c:\docume~1\admini~1\locals~1\temp\lamexp.dat
c:\docume~1\admini~1\locals~1\temp\xrecode2.dat
c:\docume~1\admini~1\locals~1\temp\120640m16s.dll
c:\docume~1\admini~1\locals~1\temp\1f4eal32.dll
c:\docume~1\admini~1\locals~1\temp\143031w26.dll
c:\docume~1\admini~1\locals~1\temp\152453q29.dll
c:\docume~1\admini~1\locals~1\temp\170609r21.dll
c:\documents and settings\administrator\桌面\qvodplayer\addin\qvodaddr.dll

2.删除重启后使用SREng修复下面各项：

系统修复－－　浏览器加载项之如下项删除：
[38008B4A-87C8-767D-4D4E-C4CC00F12F49 Class] <C:\Documents and Settings\Administrator\桌面\QvodPlayer\AddIn\QvodAddr.dll>

ps：c:\docume~1\admini~1\locals~1路径替换为c:\documents and settings\administrator\localsettings

独寻 - 2010-9-16 9:27:00

XDelBox在哪下载论坛上有吗？？

夲號ヱ被ジ盜 - 2010-9-16 9:32:00

http://bbs.ikaka.com/showtopic-8442813.aspx#3637415

或者去下载金山急救箱、360急救箱

独寻 - 2010-9-16 9:35:00

我将上述的路径复制进去以后既然提示我文件不存在

天月来了 - 2010-9-16 9:53:00

我置顶工具贴一堆删除文件的工具，自己找些操作操作去

独寻 - 2010-9-16 10:03:00

再帮我看看刚刚做了看有没好点现在网速好了许多不过他上面说的PS 路径替换我不知道怎么做附上日志

附件: SREngLOG.log

独寻 - 2010-9-16 10:07:00

今年前用瑞星的时候好象就是你在这里做斑竹，现在还在，你还挺有毅力的

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

独寻 - 2010-9-16 10:09:00

IE浏览起刚刚现在网上下载工具的时候造到篡改，真纠结啊。

networkedition - 2010-9-16 10:10:00

基本上都正常了，
c:\documents and settings\all users\「开始」菜单\程序\启动\wscntfy.exe 这个找到打包发来。

独寻 - 2010-9-16 10:18:00

你刚刚说的哪个程序找不到，可是我电脑还是扫描有很多木马我纠结啊

networkedition - 2010-9-16 10:21:00

用winrar工具查找一下，定位到那个目录。是杀毒软件查杀有很多木马吗，发个截图来一下。查杀出的文件名称及路径是啥。

独寻 - 2010-9-16 10:41:00

这是最新的日志重起以后木马依旧存在

附件: SREngLogEm.LOG

独寻 - 2010-9-16 10:42:00

就是这几个木马太顽固了没次重起都有

天月来了 - 2010-9-16 10:52:00

唉，日志显示，又一堆病毒了

你将其他盘的一些体积小于3M的.exe文件压缩些发来看看呢，越多越好

独寻 - 2010-9-16 10:54:00

我彻底完蛋了刚刚IE被篡改了我过客2007的软件修复结果回收站没有了 IE浏览器也打不开了

天月来了 - 2010-9-16 10:55:00

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\62781m17.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\68062Q20.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\80250Q19.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\108890w25.dll

不论删除结果如何立即重启电脑，看情况如何。

天月来了 - 2010-9-16 10:56:00

你具体是在局域网内么？？可能其他中毒电脑在影响你，又或者你其他盘文件被感染了

过客2007 - 2010-9-16 10:58:00

引用:

原帖由独寻于 2010-9-16 10:54:00 发表
我彻底完蛋了刚刚IE被篡改了我过客2007的软件修复结果回收站没有了 IE浏览器也打不开了

:kaka6: 按照程序提示,关闭掉360所有程序(假如存在的话),并且关闭掉所有的杀毒软件。然后重新运行一遍IE修复程序。运行完了如果没有解决，再进入IE修复程序目录中的IE修复目录，找到终极解决方案，双击运行，然后按提示导入六个注册表即会恢复。

独寻 - 2010-9-16 12:16:00

007 我的IE可以进了可是回收站的图标没有了急啊

独寻 - 2010-9-16 12:26:00

按一楼的大虾的方法处理导入文件然后右键立即重起删除然后弹出的画面如图

独寻 - 2010-9-16 12:49:00

现在附上最新的日志及扫描时隔离的可以文件，请大虾指点，请大虾看下我的回收站到哪去了，帮我找出来

附件: SREngLOG.log

独寻 - 2010-9-16 12:51:00

以下是隔离的可以文件

天月来了 - 2010-9-16 14:12:00

日志中看不出什么了

独寻 - 2010-9-17 13:27:00

但电脑一重器病毒又再次出现而且还是原来的路径原来的的名字

天月来了 - 2010-9-17 14:11:00

下载BOOTICE工具，查看磁盘引导区类型，抓图我看：
附件：BOOTICE_0.75.rar

还有我不知道是否其他盘被感染，也不知道网络情况如何

独寻 - 2010-9-17 14:25:00

木马病毒依旧在开机后出现，查杀后就没有了，但一重起又再次出现，电脑运行速度也较慢，

同时还有了新问题，每次开机后弹出一个警告的窗口下面附图，请帮帮我把

networkedition - 2010-9-17 14:36:00

扫描个狙剑日志来看一下：http://bbs.ikaka.com/attachment.aspx?attachmentid=447115

独寻 - 2010-9-17 15:17:00

你给的软件被瑞星查杀了

networkedition - 2010-9-17 15:24:00

将qq号通过站内短消息发送给我。

瑞星卡卡安全论坛