瑞星卡卡安全论坛

此毒可经U盘等移动存贮介质传播，并利用IFEO劫持破坏多种安全软件/工具加载运行。杀毒的关键是——彻底删除插入lsass.exe进程中的病毒模块C:\windows\system32\RAVWL.DLL。

一、SRENG日志所见异常项：
启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <exkataj><C:\windows\system32\cbkdkiw.exe>  []
    <wpqggej><C:\windows\system32\dnierjk.exe>  []
==================================
服务
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
  <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A>
==================================
正在运行的进程
[PID: 536][C:\windows\system32\dnierjk.exe]  [N/A, ] 
[PID: 1140][C:\windows\system32\cbkdkiw.exe]  [N/A, ]
==================================
Autorun.inf
[D:\]
[AutoRun]
open=wpqggej.exe
shellexecute=wpqggej.exe
shell\Auto\command=wpqggej.exe
————————————————

二、手工杀毒流程:
1、将IceSword.exe改名运行。
2、用IceSword禁止进程创建；结束病毒进程（图1）并删除下列病毒文件：
C:\windows\system32\dnierjk.exe 
C:\windows\system32\cbkdkiw.exe
C:\windows\system32\RAVWL.DLL（已经插入到lsass.exe进程中）
各分区根目录下的wpqggej.exe和autorun.inf
3、用IceSword找到并删除下列病毒启动项、服务项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <exkataj><C:\windows\system32\cbkdkiw.exe>  []
    <wpqggej><C:\windows\system32\dnierjk.exe>  []
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
  <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A>
4、取消IceSword的“禁止进程创建”。点击IceSword工具栏上的“文件”、“重启并监视”。
5、重启后，删除当前用户文件夹中的病毒文件（图2）。
6、删除病毒添加的IFEO劫持项：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options           
+ 360rpt.exe            c:\windows\system32\dnierjk.exe
+ 360Safe.exe            c:\windows\system32\dnierjk.exe
+ 360tray.exe            c:\windows\system32\dnierjk.exe
+ adam.exe            c:\windows\system32\dnierjk.exe
+ AgentSvr.exe            c:\windows\system32\dnierjk.exe
+ AppSvc32.exe            c:\windows\system32\dnierjk.exe
+ autoruns.exe            c:\windows\system32\dnierjk.exe
+ avconsol.exe            c:\windows\system32\dnierjk.exe
+ avgrssvc.exe            c:\windows\system32\dnierjk.exe
+ AvMonitor.exe            c:\windows\system32\dnierjk.exe
+ avp.com            c:\windows\system32\dnierjk.exe
+ avp.exe            c:\windows\system32\dnierjk.exe
+ CCenter.exe            c:\windows\system32\dnierjk.exe
+ ccSvcHst.exe            c:\windows\system32\dnierjk.exe
+ EGHOST.exe            c:\windows\system32\dnierjk.exe
+ FileDsty.exe            c:\windows\system32\dnierjk.exe
+ FTCleanerShell.exe            c:\windows\system32\dnierjk.exe
+ FYFireWall.exe            c:\windows\system32\dnierjk.exe
+ HijackThis.exe            c:\windows\system32\dnierjk.exe
+ IceSword.exe            c:\windows\system32\dnierjk.exe
+ iparmo.exe            c:\windows\system32\dnierjk.exe
+ Iparmor.exe            c:\windows\system32\dnierjk.exe
+ isPwdSvc.exe            c:\windows\system32\dnierjk.exe
+ kabaload.exe            c:\windows\system32\dnierjk.exe
+ KaScrScn.SCR            c:\windows\system32\dnierjk.exe
+ KASMain.exe            c:\windows\system32\dnierjk.exe
+ KASTask.exe            c:\windows\system32\dnierjk.exe
+ KAV32.exe            c:\windows\system32\dnierjk.exe
+ KAVDX.exe            c:\windows\system32\dnierjk.exe
+ KAVPF.exe            c:\windows\system32\dnierjk.exe
+ KAVPFW.exe            c:\windows\system32\dnierjk.exe
+ KAVSetup.exe            c:\windows\system32\dnierjk.exe
+ KAVStart.exe            c:\windows\system32\dnierjk.exe
+ KISLnchr.exe            c:\windows\system32\dnierjk.exe
+ KMailMon.exe            c:\windows\system32\dnierjk.exe
+ KMFilter.exe            c:\windows\system32\dnierjk.exe
+ KPFW32.exe            c:\windows\system32\dnierjk.exe
+ KPFW32X.exe            c:\windows\system32\dnierjk.exe
+ KPfwSvc.exe            c:\windows\system32\dnierjk.exe
+ KRegEx.exe            c:\windows\system32\dnierjk.exe
+ KRepair.COM            c:\windows\system32\dnierjk.exe
+ KsLoader.exe            c:\windows\system32\dnierjk.exe
+ KVCenter.kxp            c:\windows\system32\dnierjk.exe
+ KvDetect.exe            c:\windows\system32\dnierjk.exe
+ KvfwMcl.exe            c:\windows\system32\dnierjk.exe
+ KVMonXP.kxp            c:\windows\system32\dnierjk.exe
+ KVMonXP_1.kxp            c:\windows\system32\dnierjk.exe
+ kvol.exe            c:\windows\system32\dnierjk.exe
+ kvolself.exe            c:\windows\system32\dnierjk.exe
+ KvReport.kxp            c:\windows\system32\dnierjk.exe
+ KVScan.kxp            c:\windows\system32\dnierjk.exe
+ KVSrvXP.exe            c:\windows\system32\dnierjk.exe
+ KVStub.kxp            c:\windows\system32\dnierjk.exe
+ kvupload.exe            c:\windows\system32\dnierjk.exe
+ kvwsc.exe            c:\windows\system32\dnierjk.exe
+ KvXP.kxp            c:\windows\system32\dnierjk.exe
+ KvXP_1.kxp            c:\windows\system32\dnierjk.exe
+ KWatch.exe            c:\windows\system32\dnierjk.exe
+ KWatch9x.exe            c:\windows\system32\dnierjk.exe
+ KWatchX.exe            c:\windows\system32\dnierjk.exe
+ loaddll.exe            c:\windows\system32\dnierjk.exe
+ MagicSet.exe            c:\windows\system32\dnierjk.exe
+ mcconsol.exe            c:\windows\system32\dnierjk.exe
+ mmqczj.exe            c:\windows\system32\dnierjk.exe
+ mmsk.exe            c:\windows\system32\dnierjk.exe
+ Navapsvc.exe            c:\windows\system32\dnierjk.exe
+ Navapw32.exe            c:\windows\system32\dnierjk.exe
+ nod32.exe            c:\windows\system32\dnierjk.exe
+ nod32krn.exe            c:\windows\system32\dnierjk.exe
+ nod32kui.exe            c:\windows\system32\dnierjk.exe
+ NPFMntor.exe            c:\windows\system32\dnierjk.exe
+ PFW.exe            c:\windows\system32\dnierjk.exe
+ PFWLiveUpdate.exe            c:\windows\system32\dnierjk.exe
+ QHSET.exe            c:\windows\system32\dnierjk.exe
+ QQDoctor.exe            c:\windows\system32\dnierjk.exe
+ QQKav.exe            c:\windows\system32\dnierjk.exe
+ Ras.exe            c:\windows\system32\dnierjk.exe
+ Rav.exe            c:\windows\system32\dnierjk.exe
+ RavMon.exe            c:\windows\system32\dnierjk.exe
+ RavMonD.exe            c:\windows\system32\dnierjk.exe
+ RavStub.exe            c:\windows\system32\dnierjk.exe
+ RavTask.exe            c:\windows\system32\dnierjk.exe
+ RegClean.exe            c:\windows\system32\dnierjk.exe
+ rfwcfg.exe            c:\windows\system32\dnierjk.exe
+ rfwmain.exe            c:\windows\system32\dnierjk.exe
+ rfwsrv.exe            c:\windows\system32\dnierjk.exe
+ RsAgent.exe            c:\windows\system32\dnierjk.exe
+ Rsaupd.exe            c:\windows\system32\dnierjk.exe
+ runiep.exe            c:\windows\system32\dnierjk.exe
+ safelive.exe            c:\windows\system32\dnierjk.exe
+ scan32.exe            c:\windows\system32\dnierjk.exe
+ shcfg32.exe            c:\windows\system32\dnierjk.exe
+ SmartUp.exe            c:\windows\system32\dnierjk.exe
+ SREng.EXE            c:\windows\system32\dnierjk.exe
+ symlcsvc.exe            c:\windows\system32\dnierjk.exe
+ SysSafe.exe            c:\windows\system32\dnierjk.exe
+ TrojanDetector.exe            c:\windows\system32\dnierjk.exe
+ Trojanwall.exe            c:\windows\system32\dnierjk.exe
+ TrojDie.kxp            c:\windows\system32\dnierjk.exe
+ UIHost.exe            c:\windows\system32\dnierjk.exe
+ UmxAgent.exe            c:\windows\system32\dnierjk.exe
+ UmxAttachment.exe            c:\windows\system32\dnierjk.exe
+ UmxCfg.exe            c:\windows\system32\dnierjk.exe
+ UmxFwHlp.exe            c:\windows\system32\dnierjk.exe
+ UmxPol.exe            c:\windows\system32\dnierjk.exe
+ UpLive.exe            c:\windows\system32\dnierjk.exe
+ vsstat.exe            c:\windows\system32\dnierjk.exe
+ webscanx.exe            c:\windows\system32\dnierjk.exe
+ WoptiClean.exe            c:\windows\system32\dnierjk.exe
7、删除病毒添加的注册表垃圾：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20}



图1

附件: 1558472007515132022.jpg

图2

附件: 1558472007515132042.jpg

谢谢猫叔的分析哈 昨天本来拿到样本了 但是虚拟机里运行就出错 不知道为什么
能否把样本发给我呢？谢谢
刚我也写了一个恶意的U盘病毒的分析
比这个厉害的多滴
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
最近很流行这种恶意的U盘病毒

引用:

【newcenturymoon的贴子】谢谢猫叔的分析哈 昨天本来拿到样本了 但是虚拟机里运行就出错 不知道为什么 能否把样本发给我呢？谢谢 刚我也写了一个恶意的U盘病毒的分析 比这个厉害的多滴 http://forum.ikaka.com/topic.asp?board=28&artid=8310293 最近很流行这种恶意的U盘病毒 ………………

我的这个样本就是你提供的那个。

不是啊 两回事的 这两种的样本我都有的 你分析那个病毒文件名是固定的 但你分析的这个样本我一运行就出错

呵呵，好久好久不见猫叔发贴子了~~~~~~~

贴先不看，支持一下先

引用:

【newcenturymoon的贴子】不是啊 两回事的 这两种的样本我都有的 你分析那个病毒文件名是固定的 但你分析的这个样本我一运行就出错 ………………

不要用什么“虚拟机”。
这种病毒，可以实机运行。
为了观察其全部行为，应该联网、实机运行。
另外，观察这个病毒的行为，须临时取消安全软件的注册表防护。

可惜这些在SRENG日志里没法看到：

6、删除病毒添加的IFEO劫持项：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
+ 360rpt.exe c:\windows\system32\dnierjk.exe
+ 360Safe.exe c:\windows\system32\dnierjk.exe
+ 360tray.exe c:\windows\system32\dnierjk.exe
+ adam.exe c:\windows\system32\dnierjk.exe
+ AgentSvr.exe c:\windows\system32\dnierjk.exe
+ AppSvc32.exe c:\windows\system32\dnierjk.exe
+ autoruns.exe c:\windows\system32\dnierjk.exe
+ avconsol.exe c:\windows\system32\dnierjk.exe
+ avgrssvc.exe c:\windows\system32\dnierjk.exe
+ AvMonitor.exe c:\windows\system32\dnierjk.exe
+ avp.com c:\windows\system32\dnierjk.exe
+ avp.exe c:\windows\system32\dnierjk.exe
+ CCenter.exe c:\windows\system32\dnierjk.exe
+ ccSvcHst.exe c:\windows\system32\dnierjk.exe
+ EGHOST.exe c:\windows\system32\dnierjk.exe
+ FileDsty.exe c:\windows\system32\dnierjk.exe
+ FTCleanerShell.exe c:\windows\system32\dnierjk.exe
+ FYFireWall.exe c:\windows\system32\dnierjk.exe
+ HijackThis.exe c:\windows\system32\dnierjk.exe
+ IceSword.exe c:\windows\system32\dnierjk.exe
+ iparmo.exe c:\windows\system32\dnierjk.exe
+ Iparmor.exe c:\windows\system32\dnierjk.exe
+ isPwdSvc.exe c:\windows\system32\dnierjk.exe
+ kabaload.exe c:\windows\system32\dnierjk.exe
+ KaScrScn.SCR c:\windows\system32\dnierjk.exe
+ KASMain.exe c:\windows\system32\dnierjk.exe
+ KASTask.exe c:\windows\system32\dnierjk.exe
+ KAV32.exe c:\windows\system32\dnierjk.exe
+ KAVDX.exe c:\windows\system32\dnierjk.exe
+ KAVPF.exe c:\windows\system32\dnierjk.exe
+ KAVPFW.exe c:\windows\system32\dnierjk.exe
+ KAVSetup.exe c:\windows\system32\dnierjk.exe
+ KAVStart.exe c:\windows\system32\dnierjk.exe
+ KISLnchr.exe c:\windows\system32\dnierjk.exe
+ KMailMon.exe c:\windows\system32\dnierjk.exe
+ KMFilter.exe c:\windows\system32\dnierjk.exe
+ KPFW32.exe c:\windows\system32\dnierjk.exe
+ KPFW32X.exe c:\windows\system32\dnierjk.exe
+ KPfwSvc.exe c:\windows\system32\dnierjk.exe
+ KRegEx.exe c:\windows\system32\dnierjk.exe
+ KRepair.COM c:\windows\system32\dnierjk.exe
+ KsLoader.exe c:\windows\system32\dnierjk.exe
+ KVCenter.kxp c:\windows\system32\dnierjk.exe
+ KvDetect.exe c:\windows\system32\dnierjk.exe
+ KvfwMcl.exe c:\windows\system32\dnierjk.exe
+ KVMonXP.kxp c:\windows\system32\dnierjk.exe
+ KVMonXP_1.kxp c:\windows\system32\dnierjk.exe
+ kvol.exe c:\windows\system32\dnierjk.exe
+ kvolself.exe c:\windows\system32\dnierjk.exe
+ KvReport.kxp c:\windows\system32\dnierjk.exe
+ KVScan.kxp c:\windows\system32\dnierjk.exe
+ KVSrvXP.exe c:\windows\system32\dnierjk.exe
+ KVStub.kxp c:\windows\system32\dnierjk.exe
+ kvupload.exe c:\windows\system32\dnierjk.exe
+ kvwsc.exe c:\windows\system32\dnierjk.exe
+ KvXP.kxp c:\windows\system32\dnierjk.exe
+ KvXP_1.kxp c:\windows\system32\dnierjk.exe
+ KWatch.exe c:\windows\system32\dnierjk.exe
+ KWatch9x.exe c:\windows\system32\dnierjk.exe
+ KWatchX.exe c:\windows\system32\dnierjk.exe
+ loaddll.exe c:\windows\system32\dnierjk.exe
+ MagicSet.exe c:\windows\system32\dnierjk.exe
+ mcconsol.exe c:\windows\system32\dnierjk.exe
+ mmqczj.exe c:\windows\system32\dnierjk.exe
+ mmsk.exe c:\windows\system32\dnierjk.exe
+ Navapsvc.exe c:\windows\system32\dnierjk.exe
+ Navapw32.exe c:\windows\system32\dnierjk.exe
+ nod32.exe c:\windows\system32\dnierjk.exe
+ nod32krn.exe c:\windows\system32\dnierjk.exe
+ nod32kui.exe c:\windows\system32\dnierjk.exe
+ NPFMntor.exe c:\windows\system32\dnierjk.exe
+ PFW.exe c:\windows\system32\dnierjk.exe
+ PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe
+ QHSET.exe c:\windows\system32\dnierjk.exe
+ QQDoctor.exe c:\windows\system32\dnierjk.exe
+ QQKav.exe c:\windows\system32\dnierjk.exe
+ Ras.exe c:\windows\system32\dnierjk.exe
+ Rav.exe c:\windows\system32\dnierjk.exe
+ RavMon.exe c:\windows\system32\dnierjk.exe
+ RavMonD.exe c:\windows\system32\dnierjk.exe
+ RavStub.exe c:\windows\system32\dnierjk.exe
+ RavTask.exe c:\windows\system32\dnierjk.exe
+ RegClean.exe c:\windows\system32\dnierjk.exe
+ rfwcfg.exe c:\windows\system32\dnierjk.exe
+ rfwmain.exe c:\windows\system32\dnierjk.exe
+ rfwsrv.exe c:\windows\system32\dnierjk.exe
+ RsAgent.exe c:\windows\system32\dnierjk.exe
+ Rsaupd.exe c:\windows\system32\dnierjk.exe
+ runiep.exe c:\windows\system32\dnierjk.exe
+ safelive.exe c:\windows\system32\dnierjk.exe
+ scan32.exe c:\windows\system32\dnierjk.exe
+ shcfg32.exe c:\windows\system32\dnierjk.exe
+ SmartUp.exe c:\windows\system32\dnierjk.exe
+ SREng.EXE c:\windows\system32\dnierjk.exe
+ symlcsvc.exe c:\windows\system32\dnierjk.exe
+ SysSafe.exe c:\windows\system32\dnierjk.exe
+ TrojanDetector.exe c:\windows\system32\dnierjk.exe
+ Trojanwall.exe c:\windows\system32\dnierjk.exe
+ TrojDie.kxp c:\windows\system32\dnierjk.exe
+ UIHost.exe c:\windows\system32\dnierjk.exe
+ UmxAgent.exe c:\windows\system32\dnierjk.exe
+ UmxAttachment.exe c:\windows\system32\dnierjk.exe
+ UmxCfg.exe c:\windows\system32\dnierjk.exe
+ UmxFwHlp.exe c:\windows\system32\dnierjk.exe
+ UmxPol.exe c:\windows\system32\dnierjk.exe
+ UpLive.exe c:\windows\system32\dnierjk.exe
+ vsstat.exe c:\windows\system32\dnierjk.exe
+ webscanx.exe c:\windows\system32\dnierjk.exe
+ WoptiClean.exe c:\windows\system32\dnierjk.exe
7、删除病毒添加的注册表垃圾：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20}


对于这个，将来再变化的，应该先处理完病毒以后，再去重装系统了。

因为以后再遇到，很难说和上面一样的。

应该建议求助的，彻底搜索注册表里关于“c:\windows\system32\dnierjk.exe”的所有项目，找到的都用冰刃删除。

引用:

【天月来了的贴子】可惜这些在SRENG日志里没法看到： 6、删除病毒添加的IFEO劫持项： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options + 360rpt.exe c:\windows\system32\dnierjk.exe + 360Safe.exe c:\windows\system32\dnierjk.exe + 360tray.exe c:\windows\system32\dnierjk.exe + adam.exe c:\windows\system32\dnierjk.exe + AgentSvr.exe c:\windows\system32\dnierjk.exe + AppSvc32.exe c:\windows\system32\dnierjk.exe + autoruns.exe c:\windows\system32\dnierjk.exe + avconsol.exe c:\windows\system32\dnierjk.exe + avgrssvc.exe c:\windows\system32\dnierjk.exe + AvMonitor.exe c:\windows\system32\dnierjk.exe + avp.com c:\windows\system32\dnierjk.exe + avp.exe c:\windows\system32\dnierjk.exe + CCenter.exe c:\windows\system32\dnierjk.exe + ccSvcHst.exe c:\windows\system32\dnierjk.exe + EGHOST.exe c:\windows\system32\dnierjk.exe + FileDsty.exe c:\windows\system32\dnierjk.exe + FTCleanerShell.exe c:\windows\system32\dnierjk.exe + FYFireWall.exe c:\windows\system32\dnierjk.exe + HijackThis.exe c:\windows\system32\dnierjk.exe + IceSword.exe c:\windows\system32\dnierjk.exe + iparmo.exe c:\windows\system32\dnierjk.exe + Iparmor.exe c:\windows\system32\dnierjk.exe + isPwdSvc.exe c:\windows\system32\dnierjk.exe + kabaload.exe c:\windows\system32\dnierjk.exe + KaScrScn.SCR c:\windows\system32\dnierjk.exe + KASMain.exe c:\windows\system32\dnierjk.exe + KASTask.exe c:\windows\system32\dnierjk.exe + KAV32.exe c:\windows\system32\dnierjk.exe + KAVDX.exe c:\windows\system32\dnierjk.exe + KAVPF.exe c:\windows\system32\dnierjk.exe + KAVPFW.exe c:\windows\system32\dnierjk.exe + KAVSetup.exe c:\windows\system32\dnierjk.exe + KAVStart.exe c:\windows\system32\dnierjk.exe + KISLnchr.exe c:\windows\system32\dnierjk.exe + KMailMon.exe c:\windows\system32\dnierjk.exe + KMFilter.exe c:\windows\system32\dnierjk.exe + KPFW32.exe c:\windows\system32\dnierjk.exe + KPFW32X.exe c:\windows\system32\dnierjk.exe + KPfwSvc.exe c:\windows\system32\dnierjk.exe + KRegEx.exe c:\windows\system32\dnierjk.exe + KRepair.COM c:\windows\system32\dnierjk.exe + KsLoader.exe c:\windows\system32\dnierjk.exe + KVCenter.kxp c:\windows\system32\dnierjk.exe + KvDetect.exe c:\windows\system32\dnierjk.exe + KvfwMcl.exe c:\windows\system32\dnierjk.exe + KVMonXP.kxp c:\windows\system32\dnierjk.exe + KVMonXP_1.kxp c:\windows\system32\dnierjk.exe + kvol.exe c:\windows\system32\dnierjk.exe + kvolself.exe c:\windows\system32\dnierjk.exe + KvReport.kxp c:\windows\system32\dnierjk.exe + KVScan.kxp c:\windows\system32\dnierjk.exe + KVSrvXP.exe c:\windows\system32\dnierjk.exe + KVStub.kxp c:\windows\system32\dnierjk.exe + kvupload.exe c:\windows\system32\dnierjk.exe + kvwsc.exe c:\windows\system32\dnierjk.exe + KvXP.kxp c:\windows\system32\dnierjk.exe + KvXP_1.kxp c:\windows\system32\dnierjk.exe + KWatch.exe c:\windows\system32\dnierjk.exe + KWatch9x.exe c:\windows\system32\dnierjk.exe + KWatchX.exe c:\windows\system32\dnierjk.exe + loaddll.exe c:\windows\system32\dnierjk.exe + MagicSet.exe c:\windows\system32\dnierjk.exe + mcconsol.exe c:\windows\system32\dnierjk.exe + mmqczj.exe c:\windows\system32\dnierjk.exe + mmsk.exe c:\windows\system32\dnierjk.exe + Navapsvc.exe c:\windows\system32\dnierjk.exe + Navapw32.exe c:\windows\system32\dnierjk.exe + nod32.exe c:\windows\system32\dnierjk.exe + nod32krn.exe c:\windows\system32\dnierjk.exe + nod32kui.exe c:\windows\system32\dnierjk.exe + NPFMntor.exe c:\windows\system32\dnierjk.exe + PFW.exe c:\windows\system32\dnierjk.exe + PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe + QHSET.exe c:\windows\system32\dnierjk.exe + QQDoctor.exe c:\windows\system32\dnierjk.exe + QQKav.exe c:\windows\system32\dnierjk.exe + Ras.exe c:\windows\system32\dnierjk.exe + Rav.exe c:\windows\system32\dnierjk.exe + RavMon.exe c:\windows\system32\dnierjk.exe + RavMonD.exe c:\windows\system32\dnierjk.exe + RavStub.exe c:\windows\system32\dnierjk.exe + RavTask.exe c:\windows\system32\dnierjk.exe + RegClean.exe c:\windows\system32\dnierjk.exe + rfwcfg.exe c:\windows\system32\dnierjk.exe + rfwmain.exe c:\windows\system32\dnierjk.exe + rfwsrv.exe c:\windows\system32\dnierjk.exe + RsAgent.exe c:\windows\system32\dnierjk.exe + Rsaupd.exe c:\windows\system32\dnierjk.exe + runiep.exe c:\windows\system32\dnierjk.exe + safelive.exe c:\windows\system32\dnierjk.exe + scan32.exe c:\windows\system32\dnierjk.exe + shcfg32.exe c:\windows\system32\dnierjk.exe + SmartUp.exe c:\windows\system32\dnierjk.exe + SREng.EXE c:\windows\system32\dnierjk.exe + symlcsvc.exe c:\windows\system32\dnierjk.exe + SysSafe.exe c:\windows\system32\dnierjk.exe + TrojanDetector.exe c:\windows\system32\dnierjk.exe + Trojanwall.exe c:\windows\system32\dnierjk.exe + TrojDie.kxp c:\windows\system32\dnierjk.exe + UIHost.exe c:\windows\system32\dnierjk.exe + UmxAgent.exe c:\windows\system32\dnierjk.exe + UmxAttachment.exe c:\windows\system32\dnierjk.exe + UmxCfg.exe c:\windows\system32\dnierjk.exe + UmxFwHlp.exe c:\windows\system32\dnierjk.exe + UmxPol.exe c:\windows\system32\dnierjk.exe + UpLive.exe c:\windows\system32\dnierjk.exe + vsstat.exe c:\windows\system32\dnierjk.exe + webscanx.exe c:\windows\system32\dnierjk.exe + WoptiClean.exe c:\windows\system32\dnierjk.exe 7、删除病毒添加的注册表垃圾： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20} 对于这个，将来再变化的，应该先处理完病毒以后，再去重装系统了。 因为以后再遇到，很难说和上面一样的。 ………………

用autoruns（改名运行），删除涉及瑞星的那几个IFEO项。
重启后，瑞星可以处理剩余的那N多IFEO劫持项。这可能算是瑞星的一个进步吧。

“重启后，瑞星可以处理剩余的那N多IFEO劫持项。这可能算是瑞星的一个进步吧。”



这倒是没注意过。

以后试试。

哎,,现在利用IFEO好多啊

..

很高兴又见到猫叔的贴子了

顺便麻烦下

麻烦您发份Lyhan_1988@163.com

谢谢拉!

顶..  顺便加点积分...大叔老咯 不爱写帖子了..