瑞星卡卡安全论坛

自从10几天前我家机子上两个怎么杀也杀不掉的病毒莫名失踪之后,算是过上一段安稳日子,可灾难竟又一次突然降临.跟网友聊天时发了张手机照片,刚把手机连接到电脑上时还很好,可图片发过去不到3分钟,瑞星监控中心不断提示发现病毒,足有好几十. 可这些毒是反复被杀,我想这下完了,毒根本杀不掉!莫非是我手机里的毒感染?可前几天还用手机连过电脑,没发现毒啊!只好赶紧断网杀毒,可杀了好几十,还是没杀掉. 关机重启,系统提示时间不对,被病毒改为1999年了,进入桌面后,监控中心先是提示有毒,然后被自动关闭!!!这毒可真狠啊. 后来手机又连电脑,双击磁盘提示含又危险代码选择是否保持阻止,后来提示什么时间错误.




[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 917146200781940759.jpg

罗嗦了这么多,希望高手能帮忙解决一下.    后来我又连续杀了几次毒,但没查出来.可毒还是有的.


哎~今天还是七夕,为了这些个毒搞到现在,郁闷啊!

谨在此祝大家节日快乐!! 我也改睡了^

忘了说下病毒名字

Worm.Delf.gz       
Trojan.PSW.Win32.OnlineGames.ubt   
Trojan.PSW.Win32.SunOnline.ak   
Trojan.PSW.Win32.QQPass.qnr

(查杀出23个文件,4个毒)

试试卡巴和norton

全都是PE病毒..
你这种情况我也遇到过，瑞星监控他自动关闭了~
但是后来解决了~
我是 先下载了金山毒霸（最好用下载工具下载，要不然怕被病毒终止你的文件下载），安装后进行升级，一般情况下他要求重启，重启后又要进一步的升级，再次升级后你再重启一次  重启过程中不断按“F4”或者F5，进入安全模式（最好是断开网络的安全模式）进行病毒的查杀..杀毒完成后打开瑞星的“添加删除组件”进行程序修复..到后来就OK了..
{汗，好麻烦的..但不妨你试一下？或者等其他高手来帮助你吧，我电脑技术很菜的..真不好意思丫！}

.在或者你找到病毒的所在目录（从监控历史记录那里可以查看他的路径），用瑞星的“粉碎文件”功能把病毒文件删除看看..但一般病毒都在运行之中，很难删除的..

谢了啊,我试试看.

下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

这是断网情况下查的.注意:时间被改成了1999年.

刚突然发现,电脑没声音,播放器无法放歌曲,控制面版里提示没声音设备,不会是病毒搞的吧,也太强了!!!



附件: 9171462007819114153.txt

麻烦你看一下,我又用360查出木马Generic/PWS.Games.4.89CEF35D  提示需重启清除，可重启了N次，还是杀不掉。路径文件也无法删除。
开机后系统提示日期或时间无效，声音设备无法启动，该怎么弄啊！

重装吧！这么多毒！

前几天还好好的,就昨天夜晚突然冒出好多病毒,郁闷啊!
都不知道哪来的毒!用360还查出好几个盗号木马,(问道和魔域),晕,我基本不玩网游的.

应该是连手机的时候...手机里进来地.......

这么严重，我建议干脆重装系统吧！

找个专杀工具的杀下........实在不行重装吧.....

【回复“newcenturymoon”的帖子】
怎么这么久没反应啊! 机子这次连安全模式都进不去了,出现蓝频,提示发生错误.弄了很久,系统时间算是不被修改,监控中心也不自动关闭,可还是有毒.  声音设备无法启动是病毒搞的吗?

插入系统安装光盘，格式化C盘后重装系统，系统重装后直接上网下载冰刃的安装包到桌面（不要访问系统以外的任何驱动器），在桌面解压安装包，然后运行冰刃，删除以下文件：
D:\Autorun.inf
D:\niu.exe
E:\Autorun.inf
E:\niu.exe
这个办法应该是最省事的了。

下面纯手工杀毒的方法可以参考一下（个人意见）：

一、将C:\WINDOWS\system32\wlfpri.dll、C:\WINDOWS\system32\xyipri.dll、C:\WINDOWS\system32\dhdpri.dll、C:\WINDOWS\system32\ztmpri.dll、C:\WINDOWS\system32\dhdpri.dll这5个文件分别改名为1.dll、2.dll、3.dll、4.dll、5.dll，重启电脑。
二、先启动SRENG，然后启动冰刃，文件--设置--勾选“禁止进线程创建”--确定，右键强制删除以下文件：
C:\WINDOWS\system32\1.dll]  [N/A, ]
C:\WINDOWS\system32\2.dll]  [N/A, ]
C:\WINDOWS\system32\3.dll]  [N/A, ]
C:\WINDOWS\system32\4.dll]  [N/A, ]
C:\WINDOWS\system32\5.dll]  [N/A, ]
三、用冰刃删除以下注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <RAVZXMON><C:\Program Files\Internet Explorer\RAVZXMON.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <RAVMSMON><C:\Program Files\Internet Explorer\RAVMSMON.exe>  []
    <crsss><C:\WINDOWS\system32\crsss.exe>  []
    <RAVGJMON><C:\Program Files\Internet Explorer\RAVGJMON.exe>  []
    <RAVMHMON><C:\WINDOWS\Fonts\RAVMHMON.exe>  []
    <RAVZTMON><C:\Program Files\Internet Explorer\RAVZTMON.exe>  []
    <RAVWDMON><C:\Program Files\Internet Explorer\RAVWDMON.exe>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B48F6409-4740-475B-A474-651F54CCE460}><C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll>  [N/A]
    <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>  []
    <{7A65498A-7653-9801-1647-987114AB7F47}><C:\WINDOWS\system32\zxgpri.dll>  []
    <{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>  [N/A]
    <{A13AF41A-21B1-131B-1BFC-D2A90DF4A2BA}><C:\WINDOWS\system32\xyipri.dll>  []
    <{3182C1EB-375C-573D-1F5E-234552345213}><C:\WINDOWS\system32\wlfpri.dll>  []
    <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\WinFormA5.dll>  []
    <{D1351752-5628-1547-FFAB-BADC13512AFD}><C:\WINDOWS\system32\ztmpri.dll>  []

四、用SRENG扫描工具删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]这个注册表项在SRENG扫描工具“启动项目”列表中添加的所有项目（应该是以红色高亮显示的）。

五、用SRENG扫描工具将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]这个注册表子项<AppInit_DLLs><zxgpri.dll> 这个值项修改为<AppInit_DLLs><>。
==================================
六、删除以下服务项目
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
[WMI Performance API / WMIApiSrv][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe WMIApiSrv.dll,input><Microsoft Corporation>
删除服务后不要重启。
=================================
七、用冰刃的强制删除命令删除以下文件：
C:\WINDOWS\cmdbcs.exe>  []
C:\Program Files\Internet Explorer\RAVZXMON.exe>  []
C:\WINDOWS\MsIMMs32.exe>  []
C:\Program Files\Internet Explorer\RAVMSMON.exe>  []
C:\WINDOWS\system32\crsss.exe>  []
C:\Program Files\Internet Explorer\RAVGJMON.exe>  []
C:\Program Files\Internet Explorer\RAVZTMON.exe>  []
C:\Program Files\Internet Explorer\RAVWDMON.exe>  []
C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>  [N/A]
C:\WINDOWS\system32\WinFormA5.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\WMIApiSrv.dll
C:\WINDOWS\system32\wocfiba.exe
C:\WINDOWS\system32\WMIApiSrv.dll]  [N/A, ]
C:\Program Files\Internet Explorer\RAVWDMON.DAT]  [N/A, ]
C:\Program Files\Internet Explorer\RAVZTMON.DAT]  [N/A, ]
C:\WINDOWS\Fonts\RAVMHMON.DAT]  [N/A, ]
C:\Program Files\Internet Explorer\RAVGJMON.DAT]  [N/A, ]
C:\Program Files\Internet Explorer\RAVMSMON.DAT]  [N/A, ]
C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
C:\WINDOWS\system32\mssql.dll(, N/A)
C:\AUTORUN.INF
C:\NIU.EXE
D:\AUTORUN.INF
D:\NIU.EXE
E:\AUTORUN.INF
E:\NIU.EXE
=================================
八、用SRENG扫描工具修复WINSOCK
=================================
九、在冰刃窗口，文件--设置--取消勾选“禁止进线程创建”--确定
=================================
十、重启电脑，全盘杀毒
=================================
十一、如果安全模式进不去，先尝试用SRENG扫描工具修复下，如果不能修复，请到我的网盘（地址见我的签名）中下载“安全模式进不去导入注册表.RAR”，解压后选择XP版本的注册表文件双击导入注册表，修复安全模式。
=================================
说明
1、以上为个人认为，个人感觉应该可行。如果有兴趣就去试验下，要花很多时间的，因此建议重装系统，会快些。
2、手工杀毒有一定风险，推荐重装系统。