瑞星卡卡安全论坛

杀不了啊！到底怎么办啊？我也中了，不停的下载木马软件，瑞星根本无法杀毒啊！应该怎么办，楼主回答

现在是能通过开机关闭进程暂时缓解一下，希望瑞星可以出更新版本，查杀则各病毒，现在这个病毒可以释放多个文件楼主，在system32种，释放了873DB2A7，这里不能上传，楼主能想办法解决吗?好像中木马的人越来越多了

Trojan.PSW.RocOnline.cv
Trojan.PSW.CabalOnline.l
4月3日晚上中招的 郁闷死了 注册表也删除了 也在安全模式下删除了 但是还在SYSTEM32下生成一个1XXXX..EXE （一串数字）的文件 还想访问网络 瑞星能查出来 但是没办法杀掉 怎么办啊？对了，还有那个日志文件怎么弄出来啊？在哪找啊？

【回复“newcenturymoon”的帖子】大哥啊 我最先中的是mppds.dll  我用优化大师 找到mppds.exe 删除了 可是接连中了msccrt.dll wsttrs.dll 这会再用优化大师找不到要找的文件了  我后来中的就第一回开机有 后来就没了 是否病毒真的被删除了

害我重装了三台机器的系统,还有一台重装完又中了

瑞星杀不干净
现在每天开机都要查一遍，总有病毒。
请瑞星公司尽快解决问题。

是喔,
删了,然后重装系统,
还是有,
感染了太多文件,
最后只能全格盘,
伤心呐

在安全模式下安装顶楼的：【下载】微软发布ANI漏洞补丁MS07017 & KB935448，这个软件，一定要在安全模式下安装，否则无法启动，可能和病毒有关！安装完毕后，按照楼主的方法，删除注册表中的文件，这样子可能不让病毒自动启动，有效查杀病毒，继续关注

终于干净了 整个世界都清新了  好舒服啊

以及所有的Temp文件夹下的文件建立的启动项目
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
这里不会做啊，我电脑白痴，谁能说的简明一点啊？

以及所有的Temp文件夹下的文件建立的启动项目
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
这里不会做啊，我电脑白痴，谁能说的简明一点啊？

以及所有的Temp文件夹下的文件建立的启动项目
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
这里不会做啊，我电脑白痴，谁能说的简明一点啊？

今天晚上发现自己也中了这种木马，通过SRE扫描日志我在安全模式下手动删除了：
C: \syswm1i\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie777.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbc.exe
C:\WINDOWS\8.exe
C:\WINDOWS\system32\servet.exe
及对应文件：
C: \syswm1i\ghook.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\WINDOWS\winform.dll
C:\WINDOWS\mppds.dll
C:\WINDOWS\msccrt.dll
C:\WINDOWS\cmdbc.dll
在注册表里面删除了：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie777.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<winform><C:\WINDOWS\winform.exe>  [N/A]
    <mppds><C:\WINDOWS\mppds.exe>  [N/A]
    <upxdnd><C:\WINDOWS\TEMP\upxdnd.exe>  [N/A]
    <msccrt><C:\WINDOWS\msccrt.exe>  [N/A]
    <cmdbc><C:\WINDOWS\cmdbc.exe>  [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<333><C:\Syswm1i\svchost.exe>
之后我就用超级兔子的清理系统功能对系统进行清理，完后在用卡吧斯基杀毒：
卡吧又杀到：
木马程序Trojan-Downloader.win32.small.ecq
文件：C:\WINDOWS\system32\msgcom.dll/Petite
结果msgcom.dll被删除
木马程序Trojan.win32.Qhost.bi
文件：C:\WINDOWS\system32\drivers\etc\hosts
结果hosts被删除
木马程序Rootkit.win32.Vanti.er
文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nu.dll
结果nu.dll被删除
现在电脑暂时没什么情况，之前一天也有中毒，只是没删除的干净，这次弄了很久，应该算成功拉。这些只做大家的参考，有些与楼主的不一样，但可以肯定的是这些都是病毒。都是系统漏洞的缘故，不知道到哪里可以下载补丁，要不以后还是可能在次染毒。

好多人都中了 就是这几天的事 汗``` 希望瑞星可以动作快点
好长时间了  就这次中的 最麻烦 以前的瑞星都可以杀 可能我中的还不够尖端 .... 这次怎么拿它一点办法都没有啊

学习中………………

我有电脑中了病毒,根本杀不完,病毒关联文件太多,弄不彻底,真是腻歪死人了.

通过安装补丁，等方法，已经完全可以杀毒了！瑞星反应还算挺快的，已经完全可以查杀此些病毒，样本已经上传了

补丁在哪 我根本就杀不掉这些病毒

还不能完全清楚！！！回去再试试这个办法

不行，同志们，按你们说的方法，winform.exe winform.dll不能杀吊，请求瑞星工程师出一个专杀。这个病毒好凶，。杀了又跑出来了。晕呀。

我的也是中了这个木马群~~~~~昨天晚上中的~被咔吧杀出来了~但是咔吧杀不走~重启了还是会出现~郁闷ing~~~~~~~~进入桌面很慢~~

我按楼主的办法搞了一天一夜了，装了N遍系统，格式化了N次硬盘，结果如旧，我现在瑞星和360保护都开着，只要木马敢露头，露头就斩！

大家耐心看这个帖子，应该可以解决问题

我已经仔细看了楼主的帖子并一步步地跟着操作，可开机进入正常三模式后，还是老样子，杀不死啊！！

大前天我的也中了木马群,后用36SAFE和卡巴[也不知道哪个起的作用]一起杀掉一些,但现在一开机卡巴就提示木马Trojan-downloader.win32.agent.bdd,文件c;\windows\system32\isjag.dll,点确定机器就重起，点取消机器也没发现什么异常，十分苦恼啊，谁知道这是什么病毒，怎么杀？谢谢了

新的变种出来了,木马放在服务上,启动比瑞星快.希望瑞星能尽快解决.

用卡卡从启动管理找出启动项:
没有描述的都要怀疑,我就找到:
nortones.exe
mppds.exe
uppxdnd.exe
msccrt.exe

将其删掉,但故障依然.
原来其还有相应的DLL,
再删,不成功.

用卡卡的进程管理,打开每个进程的查看模块,发现有一模块"2D5181A4.dll"无描述及版本号,而且在csrss等多个重要进程中存在,不能直接删除,转到"管理工具"中的"服务"查看,发现"2D5181A4".这样就好办了.

重启计算机进入:安全模式
先用"卡卡"修复IE及系统,显示所有文件及文件夹,再查找出上述文件并删除.
运行"regedit"查找出"2D5181A4"将其注册项全部删除.
注意:如果系统安装有瑞星,将会在C盘发现:
autorun.ini
rising.exe
亦要将其删除.
完毕.

我也中了#83不过瑞星好像查杀了出来

顶啊

Microsoft Windows 2000 Service Pack 4 — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=92f20599-3e7b-4217-91e6-fdcfb4c56856&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fd%2f4%2fd%2fd4d5b707-58a9-4fbc-ab58-e20cc86db7bb%2fWindows2000-KB925902-x86-CHS.EXE

• Microsoft Windows XP Service Pack 2 — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=f82ea184-945f-4b78-9463-10ac20a75020&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f5%2f8%2f3%2f58324bce-00c5-42b7-bd05-1353c0604dab%2fWindowsXP-KB925902-x86-CHS.exe

• Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2 — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=ea5e1b87-4db5-4b1a-891e-29c6bd6c0184&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fc%2f9%2f8%2fc9801bd3-60f1-4d7f-9059-57786b2e0fb6%2fWindowsServer2003.WindowsXP-KB925902-x64-CHS.exe

• Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 Service Pack 2 — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=9f73a782-deaf-46e0-b3e0-79042ff39979&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fd%2f8%2ff%2fd8fc1f92-a8a3-490a-b8c1-70258436e37f%2fWindowsServer2003-KB925902-x86-CHS.exe

• Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=9f73a782-deaf-46e0-b3e0-79042ff39979&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fd%2f8%2ff%2fd8fc1f92-a8a3-490a-b8c1-70258436e37f%2fWindowsServer2003-KB925902-x86-CHS.exe

• Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2 — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=3276dd11-4e2f-4183-a542-82ac3c6d9754&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f3%2fe%2ff%2f3ef26e17-4a40-4a26-afe9-806fc06c4135%2fWindowsServer2003.WindowsXP-KB925902-x64-CHS.exe

• Windows Vista — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=d8b0e65c-5b41-46eb-92df-0b062cfcdeec&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f0%2f4%2f7%2f0472557e-05f2-471e-a018-3286d63c51c3%2fWindows6.0-KB925902-x86.msu

• Windows Vista x64 Edition — Download the update

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=fb0ff2b5-05fe-4158-b4b7-da0d7f82c04b&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fe%2fc%2f6%2fec655640-a995-436a-895a-5997bd3a7552%2fWindows6.0-KB925902-x64.msu


MS07 - 017： GDI 中的漏洞可能允许远程代码执行
注意：这篇文章是由无人工介入的自动的机器翻译系统翻译完成。这些文章是微软为不懂英语的用户提供的, 以使他们能够理解这些文章的内容。微软不保证机器翻译的正确度，也不对由于内容的误译或者客户对它的使用所引起的任何直接的, 或间接的可能的问题负责。
文章编号 : 925902
最后修改 : 2007年4月3日
修订 : 2.0

已知问题
Microsoft 已发布安全公告 MS07 - 017。 该安全公告包含有关安全更新所有相关信息。 此信息包括文件清单信息和部署选项。 要查看完整安全公告, 请访问以下 MicrosoftWeb 站点之一：
家庭用户：http://www.microsoft.com/athome/security/update/bulletins/200704oob.mspx
IT 专家：http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx (http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx)
已知问题
基于 Windows XP Service Pack 2 (SP 2) 上安装此安全更新后计算机, Realtek HD 音频控制面板 (Rthdcpl.exe) 可能无法启动 - 基于。 此外, 收到是类似于以下错误信息：
Rthdcpl.exe - 非法系统 DLL 定位
系统 DLL user32.dll 被定位内存中。 应用程序将不运行正常。 定位时由于 DLL C:\Windows\System32\Hhctrl.ocx 占用保留供 Windows 系统 DLL 的地址范围。 供应商提供 DLL 应能联系对新 DLL。
有关此问题, 请单击下列文章编号以查看 Microsoft 知识库中相应：
935448 (http://support.microsoft.com/kb/935448/) 可能无法启动 Realtek HD 音频控制面板, 并且启动计算机时收到错误信息： " 非法系统 DLL Relocation "。
注意 是 4月 3, 2007年, 存为 Microsoft 并不知道的任何其他受此问题影响的程序。 如果使用其他程序, 时收到类似消息请与 Microsoft 客户支持服务以获取 935448 修复程序。 如果我们确认程序都受此问题, 我们提供详细信息更新 Microsoft 知识库文章 935448