中了专删瑞星的病毒?请大G出出手 bbs.ikaka.com

阿飞GG - 2007-12-24 13:32:00

昨天我的瑞星杀毒软件突然被提示说要更新启动,然后退掉就没了杀毒软件,根据瑞星网站上所的,我可能中了"下载者蠕虫变种N"病毒,专门删除瑞星等杀毒软件,根据网站说明,要安装瑞星杀毒软件，升级到20.22.22版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。但是我在更新时或杀毒时,还没来得及杀掉它就被他删掉了我的杀毒软件,我直接下个20.23.22.0版本的杀毒软件来杀,但在杀的过程中还是被他删了,现在我怎么办?
每次被删再装时,系统都提示:更新或删除不完全,要重起电脑,我很烦了!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

阿飞GG - 2007-12-24 17:31:00

自己顶.
有没有人管?有没有人教呀

天月来了 - 2007-12-24 17:36:00

扫SRENG日志发来
http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把报告保存后以附件的形式发上来，把日志文件的扩展名“.log”改成“.txt”就可以发来了。
或者直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以发来了。
一定以附件形式发来

柔丝媚骨 - 2007-12-24 17:58:00

可能是中了恶意程序，用最新的卡卡查杀一下！

阿飞GG - 2007-12-24 23:42:00

2楼的大哥,我发给谁?

天月来了 - 2007-12-25 10:11:00

直接将日志内容彻底复制到一个空记事本里，然后再保存，

再去点击这贴眉头上的“回复”，然后还不知道怎么以附件形式发来吗？

阿飞GG - 2007-12-25 11:22:00

请帮忙看看,大G

附件: 99546620071225111058.txt

天月来了 - 2007-12-25 12:36:00

既然今天发日志来，为什么不扫个今天的新日志呢？

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<><C:\Program Files\Common Files\Services\svchost.exe> []
<{2A57CAD1-412F-9547-713F-9641FA3FC7A2}><C:\WINDOWS\system32\okmhbzy.dll> [N/A]
<{C859245F-345D-BC13-AC4F-145D47DA34FC}><C:\WINDOWS\system32\avzxlmn.dll> [N/A]
<{1D30695F-C54D-32AD-BC43-5810F301A1D1}><C:\WINDOWS\system32\gjgfayc.dll> [N/A]
<{778A7521-FA87-34AB-34C2-4893F3AD34C7}><C:\WINDOWS\system32\swrcfzc.dll> [N/A]
<{E159854F-6971-3456-6941-10235412974E}><C:\WINDOWS\Fonts\hookhelp.dll> [N/A]
<{CD561258-45F3-A451-F908-A258458226DC}><C:\WINDOWS\system32\kvdxslma.dll> [N/A]
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> [N/A]
<{BC87A354-ABC3-DEDE-FF33-3213FD7447CB}><C:\WINDOWS\system32\kvdxkma.dll> [N/A]
<{AE32FA58-3453-FA2D-BC49-F340348ACCEA}><C:\WINDOWS\system32\rsmyjpm.dll> [N/A]
<{45679330-4034-9021-7012-909856721374}><C:\WINDOWS\system32\wszjdzx.dll> [N/A]
<{3FA10261-B890-F432-A453-69F1023513F3}><C:\WINDOWS\system32\gjcscyc.dll> [N/A]
<{8960356A-458E-DE24-BD50-268F589A56A8}><C:\WINDOWS\system32\avwlhmn.dll> [N/A]
<{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}><C:\WINDOWS\system32\kafyjzy.dll> [N/A]
<{88907901-1416-3389-9981-372178569988}><C:\WINDOWS\system32\kawdhzy.dll> [N/A]
<{1C098A56-F90F-A789-901F-8906546720C1}><C:\WINDOWS\system32\gjtmayc.dll> [N/A]
<{A4783410-4F90-34A0-7820-3230ACD05F4A}><C:\WINDOWS\system32\raqjjpi.dll> [N/A]
<{8A1247C1-53DA-FF43-ABD3-345F323A48D8}><C:\WINDOWS\system32\avwghmn.dll> [N/A]
<{C7D81718-1314-5200-2597-58790101807C}><C:\WINDOWS\system32\kaqhlzy.dll> [N/A]
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项，将启动类型改为“Disabled”
==================================
服务
[BoBoTurbo / BoBoTurbo][Running/Auto Start]
<C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe><广州易播信息科技有限公司>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面各项，将启动类型改为“Disabled”
==================================
驱动程序
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[New0 / New0][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\new.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\E:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[BoBoControl Class]
{EC0978ED-24E3-403C-AB7A-060E388553E6} <C:\WINDOWS\system32\BoBo_ActiveX_V3.ocx, 广州易播信息科技有限公司>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本，全盘杀毒。

如果杀毒软件还不能正常工作，去彻底卸载后，重装升级。

阿飞GG - 2007-12-26 19:08:00

真不错,天月帮我把问题解决了,现在可以安装升级更新杀毒软件了.
查出20多个病毒.

天月来了 - 2007-12-26 19:28:00

为彻底

去全盘杀完后，重启电脑，扫个新日志来看看。

PhoenixQueen - 2007-12-26 19:42:00

老天儿~~~！你上了什么网？？？！！！

163780 - 2009-1-17 16:30:00

:kaka4: daG bang mang kan kan wo de ba (wo de shu ru fa dou huai le .......:kaka6: )qiu ni le:kaka18:

附件: SREngLOG.txt

backway - 2009-1-17 17:18:00

引用:

原帖由 163780 于 2009-1-17 16:30:00 发表
:kaka4: daG bang mang kan kan wo de ba (wo de shu ru fa dou huai le .......:kaka6: )qiu ni le:kaka18:

1.建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备）
c:\docume~1\admini~1\locals~1\temp\604807
c:\windows\system32\csrss.dll
c:\windows\system32\sh05022.dll
c:\docume~1\admini~1\locals~1\temp\523366
c:\docume~1\admini~1\locals~1\temp\191333
c:\windows\system32\ijgkkbmf.dll
c:\windows\system32\kopiebpj.dll
c:\program files\internet explorer\uzsktnt.zs3
c:\windows\system32\anymie360.dll
c:\windows\system32\rpcss.dll
c:\windows\system32\cbbnkbcb.dll
c:\windows\system32\ekhbfknl.dll
c:\windows\system32\fhbneeol.dll
c:\windows\system32\fopccdgn.dll
c:\windows\system32\hakcijpj.dll
c:\windows\system32\hhjkfjkm.dll
c:\windows\system32\ippipigg.dll
c:\windows\system32\mifnemdm.dll
c:\windows\system32\mlggdpec.dll
c:\windows\system32\npgkglgk.dll
c:\windows\system32\aocldokj.dll
c:\windows\system32\hbchibi.dll
c:\windows\system32\hjdlhpem.dll
c:\windows\system32\kffhdglf.dll
c:\windows\system32\mlddncjm.dll
c:\windows\system32\mocnmlef.dll
c:\windows\system32\nkiebgcf.dll
c:\windows\system32\bkkcihbi.dll
c:\windows\system32\lnnahjfl.dll
c:\windows\system32\cpahilii.dll
c:\windows\system32\ilnbnmfn.dll
C:\WINDOWS\system32\F31A42C5.dat
c:\windows\System32\Drivers\msiffei.sys
C:\Program Files\Internet Explorer\UzsKtNt.Zs3
D:\autorun.inf

删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
<Alcmtr><anymie360.exe> []
<ctfn><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\604807> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{29929200-876E-42EC-B098-86ADE6C86479}><C:\WINDOWS\system32\ippipigg.dll> []
<{6500D9EC-09E5-4D05-AFB8-EB503A875D1C}><C:\WINDOWS\system32\mlggdpec.dll> []
<{F1B7EE85-0C2C-438B-811E-1710A8C6F7B7}><C:\WINDOWS\system32\fhbneeol.dll> []
<{62F7E6D6-1FA8-4731-B578-7CC5E26784AE}><C:\WINDOWS\system32\mifnemdm.dll> []
<{1134F346-D2AE-40B3-89D8-0D7BB1C4F67E}><C:\WINDOWS\system32\hhjkfjkm.dll> []
<{E41BF475-C513-44AF-B53D-5C3F20217409}><C:\WINDOWS\system32\ekhbfknl.dll> []
<{F89CCD07-ACE9-4140-93D2-735193EA4309}><C:\WINDOWS\system32\fopccdgn.dll> []
<{79040504-31C5-4D4C-8464-170E33B7A17D}><C:\WINDOWS\system32\npgkglgk.dll> []
<{CBB74BCB-ED5A-4572-8F01-0597EF45CC93}><C:\WINDOWS\system32\cbbnkbcb.dll> []
<{B44C21B2-87AD-47A3-ADC2-4BDC2AF92282}><C:\WINDOWS\system32\bkkcihbi.dll> []
<{C9A12522-01C1-43BC-85C3-0A7332492057}><C:\WINDOWS\system32\cpahilii.dll> []
<{257B76F7-C18B-447D-8CAE-A3047188EFFA}><C:\WINDOWS\system32\ilnbnmfn.dll> []
<{1A4C2393-3166-41BF-83EC-3BFC98A52EC0}><C:\WINDOWS\system32\hakcijpj.dll> []
<{47665FA5-FCF5-4444-B552-DF6549ECCA27}><C:\Program Files\Internet Explorer\UzsKtNt.Zs3> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<29929200><C:\WINDOWS\system32\ippipigg.dll> []
<6500D9EC><C:\WINDOWS\system32\mlggdpec.dll> []
<F1B7EE85><C:\WINDOWS\system32\fhbneeol.dll> []
<62F7E6D6><C:\WINDOWS\system32\mifnemdm.dll> []
<1134F346><C:\WINDOWS\system32\hhjkfjkm.dll> []
<E41BF475><C:\WINDOWS\system32\ekhbfknl.dll> []
<F89CCD07><C:\WINDOWS\system32\fopccdgn.dll> []
<79040504><C:\WINDOWS\system32\npgkglgk.dll> []
<CBB74BCB><C:\WINDOWS\system32\cbbnkbcb.dll> []
<B44C21B2><C:\WINDOWS\system32\bkkcihbi.dll> []
<C9A12522><C:\WINDOWS\system32\cpahilii.dll> []
<257B76F7><C:\WINDOWS\system32\ilnbnmfn.dll> []
<1A4C2393><C:\WINDOWS\system32\hakcijpj.dll> []

<IFEO[RFWSTUB.EXE]><svchost.exe> [(Verified)Microsoft Windows Publisher]
IFEO[Thunder5.exe]><svchost.exe
启动项目－－服务－－驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

[Safe Mon 360 / SafeMon0][Running/System Start]
<\??\C:\WINDOWS\system32\F31A42C5.dat><N/A>
[Kisstusb / Kisstusb][Running/]
<2 - 系统找不到指定的文件。
><N/A>
[msiffei / msiffei][Stopped/Manual Start]
<System32\Drivers\msiffei.sys><N/A>

系统修复——浏览器加载项之如下项删除

[]
{47665FA5-FCF5-4444-B552-DF6549ECCA27} <C:\Program Files\Internet Explorer\UzsKtNt.Zs3, N/A>
[]
{47665FA5-FCF5-4444-B552-DF6549ECCA27} <C:\Program Files\Internet Explorer\UzsKtNt.Zs3, N/A>

系统修复——HOSTS文件——重置保存

结束进程里的ctfmon.exe，将附件里的该文件解压至C:\Windows\system32\dllcache和C:\Windows\system32下

停止服务（完成下列操作后再启用):

[DCOM Server Process Launcher / DcomLaunch][Running/Auto Start]
<C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A>
[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
<C:\WINDOWS\system32\svchost -k rpcss-->c:\windows\system32\rpcss.dll><N/A>

下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=452364
使用方法：下载后得到压缩包“rpcss.zip”，将其中文件全部解压缩，然后运行“rpcss.bat”，按提示操作即可

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手，清理系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

附件: ctfmon.rar

backway - 2009-1-17 17:34:00

另外搜索weiai.exe，可能具有系统与隐藏属性，也能在非系统盘、D盘根目录下
找到删除

backway - 2009-1-17 17:42:00

个人建议重装系统，原系统装的东西不很多。手工杀毒操作起来比较麻烦。
重装之前用winrar打开D盘，删除里面的autorun.inf，如有weiai.exe找到删除

瑞星卡卡安全论坛