chzhy

正常模式和安全模式都尝试过了，是不是本人才疏学浅，有遗漏了，麻烦大家帮我看看！

首先运行了一下，ifeo修复了一下！然后是下面的操作！

安全模式下，编辑修改好后，重启回到正常模式，又出现AppInit_DLLs这个不正确的项目，怀疑是不是可能日志没有看清楚

请各位朋友帮忙看看~
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\myusemtk.exe
c:\windows\system32\mttwfh.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\zefdst.dll
c:\windows\system32\myusemt.dll
c:\windows\system32\ntnsdkwow.dll
c:\windows\system32\drivers\msiffei.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{28EB3777-3E23-4E72-8449-A992D09D24C3}]    <C:\WINDOWS\system32\zefdst.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改：把<myusemt.dll NTNSDKWOW.dll>修改为<>即清空

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

[ 本帖最后由 chzhy 于 2008-7-22 18:40 编辑 ]

byxxdrls

c:\windows\system32\mmc.exe
这个系统文件已被病毒修改！今天看到了几个这样的帖子了。建议用sigverif检查一下还有哪些系统文件被修改。因为据求助者反映，替换了这个文件之后问题也还是解决不了

1.建议使用XDelBox（或费尔木马强力清除助手http://dl.filseclab.com/down/powerrmv.zip http://www.xpi386.com/tools/PowerRmv.rar）删除以下文件：(XDelBox1.7下载)
xdelbox使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择“从剪贴板导入不检查路径”，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\myusemtk.exe
c:\windows\system32\knu32.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\zefdst.dll
c:\windows\system32\myusemt.dll
c:\windows\system32\ntnsdkwow.dll
c:\windows\system32\drivers\msiffei.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{28EB3777-3E23-4E72-8449-A992D09D24C3}]    <C:\WINDOWS\system32\zefdst.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改：把<myusemt.dll NTNSDKWOW.dll>修改为<>即清空

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

**************以上分析报告由SREngLog分析助手提供******************
分析：byxxdrls
时间：2008-7-22
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

byxxdrls

修复IFEO的事，不说也没关系吧？

chzhy

引用:

原帖由 byxxdrls 于 2008-7-22 18:40 发表
修复IFEO的事，不说也没关系吧？

谢谢你啊，最后有具体解决的方法吗

nhxycfans

....
duba专杀扫描
http://bbs.janmeng.com/thread-652550-1-1.html

清理助手扫描

[ 本帖最后由 nhxycfans 于 2008-7-22 18:47 编辑 ]

chzhy

引用:

原帖由 nhxycfans 于 2008-7-22 18:45 发表
....
duba专杀扫描
http://bbs.janmeng.com/thread-652550-1-1.html

清理助手扫描

两个暂时还不能运行

chzhy

c:\windows\system32\mmc.exe
这个系统文件已被病毒修改！今天看到了几个这样的帖子了。建议用sigverif检查一下还有哪些系统文件被修改。因为据求助者反映，替换了这个文件之后问题也还是解决不了


替换了这个，果然还是老样子啊

eyeego

开始运行
输入sigverif
然后把没过检查的文件截个图发上来

eyeego

那啥。。。不知道出了什么问题。。。我居然看到了别人都没看到的东西。。。但是现在我又看不到了。。。。。看来分析助手读取的时候出了点问题。。。。
那个清理助手怎么不能运行？点了没反应？试试改名或者在压缩包内运行

关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹      
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载windows清理助手V2.6清理一遍，记得之前更新好
http://www.arswp.com/download/arswp2/arswp2.zip
然后用SRENG（http://www.kztechs.com/sreng/sreng2.zip）再扫描一份日志上来

[ 本帖最后由 eyeego 于 2008-7-22 20:01 编辑 ]

nhxycfans

下载2个文件放在一起
http://www.arswp.com/download/tools/solo.zip
http://www.arswp.com/download/arswp25/ar.dat (最新版本特征库)

解压solo.zip 打开 按“扫”