查看: 1919|回复: 5
收起左侧

麻烦看一下报告

[复制链接]
xffsfy
发表于 2007-7-16 10:08:59 | 显示全部楼层 |阅读模式
同学的电脑,已知症状是按Ctrl+Alt+Del无反应。我对驱动部分不是很感冒,大家帮忙看看
PS: 别嘲笑他用瑞*

SREngLOG.rar

7.69 KB, 下载次数: 22

magic659117852
发表于 2007-7-16 13:15:07 | 显示全部楼层
还驱动  进程都N多不妥了。。。
magic659117852
发表于 2007-7-16 13:24:12 | 显示全部楼层
中木马无数......

    SREng---启动项目 -- 注册表之如下项删除:

[{159AFD5B-159F-ACD8-954C-ACD545FA6581}]    <C:\WINDOWS\system32\jzapri.dll>
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{EE12D60D-AD9A-4095-B839-3BE6862679FD}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{26368135-64FA-BC34-DA32-DCF4FD431C92}]    <C:\WINDOWS\system32\qhbpri.dll>
[{12311A42-AC1B-158F-FD32-5674345F23A1}]    <C:\WINDOWS\system32\dhapri.dll>
[{40117B96-998D-4D80-8F89-5E9DBD9F3460}]    <C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys>
[{014A26F5-FBAD-4549-9CA1-C38210704BD1}]    <C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins>
[{1F12545B-1212-1314-5679-4512ACEF8901}]    <C:\WINDOWS\system32\wdapri.dll>
[{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}]    <C:\WINDOWS\system32\Agent.dll>
[{754FB7D8-B8FE-4810-B363-A788CD060F1F}]    <C:\Program Files\Internet Explorer\PLUGINS\System64.sys>
[{A6011F8F-A7F8-49AA-9ADA-49127D43138F}]    <C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt>
[KVP]    <C:\WINDOWS\system32\drivers\svchost.exe>
[MsIMMs32]    <C:\WINDOWS\MsIMMs32.exe>
[RAV00A0]    <C:\WINDOWS\system32\RAV00A0.exe>
[RAV0138]    <C:\WINDOWS\system32\RAV0138.exe>
[RAV009B]    <C:\WINDOWS\system32\RAV009B.exe>
[Microsoft Autorun7]    <C:\WINDOWS\system32\nwiztlbu.exe>
[Microsoft Autorun5]    <C:\WINDOWS\system32\mosou.exe>
[cmdbcs]    <C:\WINDOWS\cmdbcs.exe>
[cmdbcs]    <C:\WINDOWS\cmdbcs.exe>
[RAV008C]    <C:\WINDOWS\system32\RAV008C.exe>
[tlsa]    <C:\DOCUME~1\user\LOCALS~1\Temp\tlso.exe>
[TIMHost]    <C:\WINDOWS\TIMHost.exe>
[Microsoft Autorun11]    <C:\WINDOWS\system32\nwizwlwzs.exe>
[RAV00AE]    <C:\WINDOWS\system32\RAV00AE.exe>
[mppds]    <C:\WINDOWS\mppds.exe>
[SysExplr]    <C:\Herosoft\HeroV8\SYSEXPLR.EXE>
[svc]    <C:\DOCUME~1\user\LOCALS~1\Temp\sysphong.exe>
[twin]    <C:\WINDOWS\system32\ctfnom.exe>

编辑 <AppInit_DLLs><qhbpri.dll> 为 <AppInit_DLLs><>  即把后面的清空

     SREng-启动项目--服务--Win32服务应用程序  选中"隐藏已认证的-微软项目"  选中下面列出的服务,点"删除服务",点“设置”  弹出的窗口中点 "否NO"(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置

[Wireless Service / WZCSRVC]    <C:\WINDOWS\system32\rundll32.exe netsrvcs.dll,input>
[WMI Performance API / WMIApiSrv]    <C:\WINDOWS\system32\rundll32.exe WMIApiSrv.dll,input>
[Remote Debug Service / RemoteDbg]    <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input>
[Win32 Debug Service / MSDebugsvc]    <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input>

   SREng--启动项目--服务--驱动程序 选中"隐藏已认证的微软项目"  选中下面列出的驱动,点"删除服务",点"设置"   弹出的窗口中点"否NO"(不能删除的就禁用:启动类型改为disabled--点中修改启动类型,点设置)
   
[Bluesky002 / Bluesky002]    <>

重启后 点击这里下载费尔木马强力删除助手 删除以下文件,提示不存在的忽略。

c:\windows\system32\systemm.exe
c:\docume~1\user\locals~1\temp\sysphong.exe
c:\windows\system32\qhbpri.dll
c:\windows\system32\adapi32.dll
c:\windows\system32\dhapri.dll
c:\windows\system32\jzapri.dll
c:\windows\system32\ravwm708.dll
c:\windows\system32\wdapri.dll
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\program files\internet explorer\plugins\system64.sys
c:\program files\internet explorer\plugins\syswin64.sys
c:\windows\system32\hytsx.dll
c:\windows\system32\wiytd.dll
c:\windows\system32\wkjhl.dll
c:\windows\system32\wljhj.dll
c:\windows\system32\wlkhm.dll
c:\windows\system32\zeqax.dll
c:\docume~1\user\locals~1\temp\tlso0.dll
c:\program files\common files\microsoft shared\msinfo\system16.ins
c:\program files\common files\microsoft shared\msinfo\newinfo.bmt
c:\program files\internet explorer\iexplore32.win
c:\windows\system32\aetpksw.dll
c:\windows\system32\agent.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\mosou.dll
c:\windows\system32\mppds.dll
c:\windows\system32\msimms32.dll
c:\windows\system32\nwizqjsj.dll
c:\windows\system32\nwiztlbb.dll
c:\windows\system32\nwizwlwzs.dll
c:\windows\system32\rav008c.dat
c:\windows\system32\rav009b.dat
c:\windows\system32\rav00a0.dat
c:\windows\system32\rav00ae.dat
c:\windows\system32\rav0138.dat
c:\windows\system32\timhost.dll
c:\herosoft\herov8\avcdrom.dll
c:\herosoft\herov8\coolmenu.dll
c:\herosoft\herov8\sys936.dll
c:\docume~1\user\locals~1\temp\jkozbasz.dll
c:\windows\system32\msdebug.dll
c:\windows\system32\remotedbg.dll
c:\windows\system32\wmiapisrv.dll
c:\windows\system32\netsrvcs.dll
c:\windows\system32\drivers\svchost.exe
c:\windows\msimms32.exe
c:\windows\system32\rav00a0.exe
c:\windows\system32\rav0138.exe
c:\windows\system32\rav009b.exe
c:\windows\system32\nwiztlbu.exe
c:\windows\system32\mosou.exe
c:\windows\cmdbcs.exe
c:\windows\system32\rav008c.exe
c:\docume~1\user\locals~1\temp\tlso.exe
c:\windows\timhost.exe
c:\windows\system32\nwizwlwzs.exe
c:\windows\system32\rav00ae.exe
c:\windows\mppds.exe
c:\herosoft\herov8\sysexplr.exe
c:\windows\system32\ctfnom.exe
c:\windows\system32\netsrvcs.dll
c:\windows\system32\wmiapisrv.dll
c:\windows\system32\remotedbg.dll
c:\windows\system32\msdebug.dll
e:\AutoRun.inf
e:\AutoRun.exe


下载Windows清理助手处理一下,,清理前升级到最新版本
http://www.arswp.com/download/arswp2/arswp2.zip

下载临时文件清理工具清理一下
http://hzqedison.mm9mm.com/hanhua/ATF-Cleaner-cn.exe

升级杀软安全模式下全盘杀毒,,,注意更改QQ等密码
dianshixs
发表于 2007-7-16 15:44:51 | 显示全部楼层
格式化算拉! 这么多!
xffsfy
 楼主| 发表于 2007-7-16 19:03:58 | 显示全部楼层
大家见识到毒窝了吧~~~更令人惊讶的是这么多木马居然没一个盗号的
九棒歪打
发表于 2007-7-18 14:31:22 | 显示全部楼层
<C:\WINDOWS\system32\drivers\svchost.exe>
  <C:\Program Files\Internet Explorer\PLUGINS\System64.sys>
         <C:\WINDOWS\system32\RAV00AE.exe>

这种伪装正常进程很有趣
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:38 , Processed in 0.132163 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表