123   2  /  3  页   跳转

高手帮我看看吧 !~谢谢你们了

收藏
Trojan87
头像
快乐黄口狮
  • 帖子:242
  • 注册: 2006-12-08
  • 来自:
发表于: 2008-05-08 19:00 | 只看楼主 短消息 资料
字号: 11楼

回复: 高手帮我看看吧 !~谢谢你们了

这个是日志的附件 谢谢帮我看看 ~!

附件附件:

文件名:SREngLOG.log
下载次数:85
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-8 19:00:06
描述:log
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-05-08 19:21 | 短消息 资料
字号: 12楼

回复:高手帮我看看吧 !~谢谢你们了

http://bbs.ikaka.com/showtopic-8502100.aspx
参考这里的  下载并安装PE  然后下载“费尔……助手”  重起进入PE

1.用费尔……助手删除以下文件:

c:\windows\uokbubia.exe
c:\windows\temp\tmp16.tmp
c:\windows\temp\tmpb.tmp
c:\windows\temp\tmp18.tmp
c:\windows\temp\~wxp2ins.468.tmp
c:\windows\system32\drivers\kmsinput.sys
C:\Program Files\Windows NT\qasfo.dll

2.很重要:复制c:\windows\system32\dllcache\文件夹里的lsass.exe和mfc40u.dll 两文件全部粘贴到c:\windows\system32\文件夹内,提示替换时选“是”  这步一定要做好  不做重起又是一堆木马来 

做好重起进入系统 

重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[rujookjb] 

    启动项目 -- 服务-- 驱动程序之如下项删除:
[ptfs / ptfs]   
[ping / ping]   
[jtio / jtio]   
[Atixeve27578 / Atixeve27578] 
[kmsinput / kmsinput]         


全部做完  下载以下软件清理一次并更新杀毒软件至最新,进行全盘杀毒

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip


如果上面操作时发现c:\windows\system32\dllcache\文件夹里并没有备份文件 那么到其他相同系统的机子上拷贝一个过来 因为你的系统是SP1  我是SP2的不能给你提供

全部做完后 如果还感觉有问题 再扫描日志上传  因为不知道在你扫描完日志到现在是否还在下载其他木马
不认识我没关系,因为我也不认识你。
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-05-08 19:28 | 短消息 资料
字号: 13楼

回复:高手帮我看看吧 !~谢谢你们了

忘了还一步:

SRE修复的时候记的修复这个:

系统修复--Winsock供应者--重置所有内容为默认值
不认识我没关系,因为我也不认识你。
gototop
 
Trojan87
头像
快乐黄口狮
  • 帖子:242
  • 注册: 2006-12-08
  • 来自:
发表于: 2008-05-08 20:04 | 只看楼主 短消息 资料
字号: 14楼

回复: 高手帮我看看吧 !~谢谢你们了

刚才下那个PE以后  马上机器就出现问题了 然后开网页都打不开 然后起机器 半天没起来 起来以后 瑞星 360 都不好使了而且机器 出现了好几个多余的盘 以前我就有  C D E F  这4个盘着一下多了好几个 我刚扫描了日志 高手在帮我看看 


谢谢.了 ~!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!在线等

附件附件:

文件名:SREngLOG.log
下载次数:71
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-8 20:04:04
描述:log
gototop
 
Trojan87
头像
快乐黄口狮
  • 帖子:242
  • 注册: 2006-12-08
  • 来自:
发表于: 2008-05-08 20:25 | 只看楼主 短消息 资料
字号: 15楼

回复: 高手帮我看看吧 !~谢谢你们了

高手在帮我看看吧 ~! 这次的木马肯定比刚才多很多~! 刚才瑞星还能用呢  现在都打不开了 ~!555555555555










谢谢高手了 ~!!!!!!!!!!!!!!!!!!!!
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-05-08 20:47 | 短消息 资料
字号: 16楼

回复:高手帮我看看吧 !~谢谢你们了

先下载附件  解压后将注册表导入

同样的参考这里http://bbs.ikaka.com/showtopic-8502100.aspx
下载PE并安装  并下载“费尔木马强力清除助手”
重起选择进入PE用“费尔木马强力清除助手”删除以下文件:
c:\windows\temp\_qosec3.msi
c:\windows\temp\_qosec1.msi
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosjtio00.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\msosptfs00.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosjtio01.dll
c:\windows\system32\msosping01.dll
c:\windows\system32\msosptfs01.dll
c:\windows\system32\msosdohs02.dll
c:\windows\system32\msosjtio02.dll
c:\windows\system32\msosping02.dll
c:\windows\system32\msosptfs02.dll
c:\windows\system32\fdght.dll
c:\windows\system32\fjyjy.dll
c:\windows\system32\frntrn.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\sperls.dll
c:\windows\system32\ypdjebmp.dll
c:\windows\system32\lofsajbo.dll
c:\program files\internet explorer\plugins\winsys16.sys
c:\windows\368717mm.dll
c:\windows\system32\bsgzco.dll
c:\windows\system32\chelyn.dll
c:\windows\system32\dbhlp32.dll
c:\windows\system32\dionpis.dll
c:\windows\system32\efoqii.dll
c:\windows\system32\fiosectc.dll
c:\windows\system32\fmsiocps.dll
c:\windows\system32\grsnwr.dll
c:\windows\system32\huifitc.dll
c:\windows\system32\itoxiu.dll
c:\windows\system32\jewosh.dll
c:\windows\system32\mmfkkljk1071.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\ojqfpo.dll
c:\windows\system32\pliesn.dll
c:\windows\system32\ptshell.dll
c:\windows\system32\ticisms.dll
c:\windows\system32\tjhkcmxb.dll
c:\windows\system32\uezawn.dll
c:\windows\system32\winsvr64.dll
c:\windows\system32\wkfuxp.dll
c:\windows\system32\xowoao.dll
c:\windows\system32\yuiabct.dll
c:\windows\temp\1.tmp
c:\windows\winsvr64.exe
c:\windows\uokbubia.exe
c:\windows\huifitc.exe
c:\windows\368717m.exe
c:\windows\ticisms.exe
c:\windows\ptshell.exe
c:\windows\fiosectc.exe
c:\windows\dionpis.exe
c:\windows\dbhlp32.exe
c:\windows\fmsiocps.exe
c:\windows\yuiabct.exe
rundll32.exe c:\windows\system32\hbkrnl.dll,dllregisterserver
c:\windows\temp\tmp16.tmp
c:\windows\temp\tmpb.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\kmsinput.sys
c:\windows\temp\tmp18.tmp
c:\windows\system32\drivers\hbkernel.sys
c:\windows\temp\~wxp2ins.468.tmp
C:\Program Files\Windows NT\qasfo.dll
还是同样的很重要的一步:复制c:\windows\system32\dllcache\文件夹里的lsass.exe和mfc40u.dll文件粘贴到c:\windows\system32\目录下 选择替换时选“是”
做完后重起计算机进入系统  继续下面的  记住  如果你的文件没有替换好 那重起以后连上网就又会自动下载一群木马了  所以那步替换文件非常重要

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{170165F1-9F65-569F-F895-F14F58F41071}] 
[{71954FAC-1023-154F-895A-1458258AD817}] 
[{4eab7e69-1251-4caf-ad41-c06a8e69e933}] 
[{25D5402E-DEB1-4BF5-A1C5-CB9CF353488F}] 
注意该项[AppInit_DLLs]修改:把<ghynjr.dll,dgxsrr.dll,dfhtrhy.dll,ghjkdr.dll,sefawe.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,dgxsrr.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,ghjdtry.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,fdght.dll,,msosjtio00.dll>修改为<>即清空
[WINSvr64] 
[rujookjb] 
[huifitc] 
[WinSysM] 
[ticisms] 
[ptshell] 
[fiosectc] 
[dionpis] 
[dbhlp32] 
[fmsiocps] 
[yuiabct] 
[HB Kernel]

    启动项目 -- 服务-- 驱动程序之如下项删除:
[ptfs / ptfs] 
[ping / ping] 
[msfpfis64 / msfpfis64] 
[kmsinput / kmsinput]   
[jtio / jtio]
[HBKernel Driver / HBKernel] 
[Atixeve27578 / Atixeve27578] 

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINDOWS\System32\ypdjebmp.dll>
[]    <C:\WINDOWS\System32\lofsajbo.dll>
    系统修复-- Winsock 供应者-- 重置所有内容为默认值

全部做完下载以下软件清理一次并更新杀毒软件至最新,进行全盘扫描
清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

附件附件:

文件名:附件1.rar
下载次数:75
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-8 20:50:18
描述:rar

最后编辑豪斯登堡新郎 最后编辑于 2008-05-08 20:50:18
不认识我没关系,因为我也不认识你。
gototop
 
Trojan87
头像
快乐黄口狮
  • 帖子:242
  • 注册: 2006-12-08
  • 来自:
发表于: 2008-05-08 20:58 | 只看楼主 短消息 资料
字号: 17楼

回复: 高手帮我看看吧 !~谢谢你们了

复制c:\windows\system32\dllcache\文件夹里的lsass.exe和mfc40u.dll文件粘贴到c:\windows\system32\目录下 选择替换时选“是”



  在 c:\windows\system32 里面没找到 dllcache\ 这个文件夹啊 
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-05-08 21:12 | 短消息 资料
字号: 18楼

回复:高手帮我看看吧 !~谢谢你们了

在XP系统里  是隐藏的

直接“开始 运行  c:\windows\system32\dllcache\ ”  如果在PE里 就直接能看见了
不认识我没关系,因为我也不认识你。
gototop
 
Trojan87
头像
快乐黄口狮
  • 帖子:242
  • 注册: 2006-12-08
  • 来自:
发表于: 2008-05-08 21:26 | 只看楼主 短消息 资料
字号: 19楼

回复: 高手帮我看看吧 !~谢谢你们了

斑竹 可以告诉我一下 

注意该项[AppInit_DLLs]修改:把<ghynjr.dll,dgxsrr.dll,dfhtrhy.dll,ghjkdr.dll,sefawe.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,dgxsrr.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,ghjdtry.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,fdght.dll,,msosjtio00.dll>修改为<>即清空
[WINSvr64] 
[rujookjb] 
[huifitc] 
[WinSysM] 
[ticisms] 
[ptshell] 
[fiosectc] 
[dionpis] 
[dbhlp32] 
[fmsiocps] 
[yuiabct] 
[HB Kernel]

这个地方我有点没看明白 我是电脑白痴可以在告诉我一下吗 谢谢你了 !~~~~~~~~~~~~~~~~~~~~~~~
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-05-08 21:30 | 短消息 资料
字号: 20楼

回复:高手帮我看看吧 !~谢谢你们了

就是用你扫描日志的那个工具。。。

打开后 点“启动项目-注册表”  就可以看到那些  红色那个AppInit_DLLs  需要你编辑他的值为空  下面那些  全部都要删除
不认识我没关系,因为我也不认识你。
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT