瑞星卡卡安全论坛

哪位大哥帮个忙，中毒文件删不了，郁闷啊，日志已发！！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MAXTHON 2.0)


附件: 1000379200815195411.txt

不知道电脑里都是些什么。
自己去判断一下文件吧。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <System><; C:\Program Files\Common Files\System\Update.exe>  [N/A]
    <zsms><rundll32.exe C:\WINDOWS\system32\mcdsrv16_080104.dll start>  [N/A]
————————————————————————————————————————
去开始菜单里删除这个，至少我不知道干什么的：
==================================
启动文件夹
[word]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\word.lnk --> C:\WINDOWS\system32\ridiap080101.exe [N/A]><N>
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项，将启动类型改为“Disabled”
==================================
服务
[Event Service / Hardware][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\droewd46.dll><N/A>

[Server Access Manager / Server Access Manager][Stopped/Auto Start]
  <><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面各项，将启动类型改为“Disabled”
==================================
驱动程序
[577rfdbgf / 577rfdbgff][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\577rfdbgff.sys><N/A>
[8hzzzs9tv / 8hzzzs9tv][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\8hzzzs9tv.sys><N/A>
[9lxc / 9lxc4][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\9lxc4.sys><N/A>
[GMSIPCI / GMSIPCI][Stopped/Manual Start]
  <\??\H:\INSTALL\GMSIPCI.SYS><N/A>
[NTACCESS / NTACCESS][Stopped/Manual Start]
  <\??\H:\NTACCESS.sys><N/A>
[SetupNTGLM7X / SetupNTGLM7X][Stopped/Manual Start]
  <\??\H:\NTGLM7X.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》里面找下面删除，或者自己选择了。
==================================
HOSTS 文件
127.0.0.1      update.cpushpop.com
127.0.0.1      image.yahoo550.com
127.0.0.1      gs.chnsystem.com
127.0.0.1      msl.chnsystem.com
127.0.0.1      ssl.chnsystem.com
127.0.0.1      www.gagagaga.cn
127.0.0.1      down.1024tb.com
127.0.0.1      xconf.coopen.cn
127.0.0.1      log.xplayer.coopen.cn
127.0.0.1      xfile.coopen.cn
127.0.0.1      loader.smartpv.cn
127.0.0.1      alerts.xiaoi.com
127.0.0.1      sports.yahoo550.com
127.0.0.1      update.cnnic.cn
127.0.0.1      jump.cnnic.cn
127.0.0.1      login.zuoyoukongjian.com
127.0.0.1      adfirefox.cn
127.0.0.1      3.wornm.cn
127.0.0.1      5.haokandi.cn
127.0.0.1      b.downadown.cn
127.0.0.1      update.iesuper.com
127.0.0.1      888.843call.cn
127.0.0.1      122.770304123.cn
127.0.0.1      110.770304123.cn
127.0.0.1      343.boolans.com
127.0.0.1      update.smartpv.cn
127.0.0.1      update146.smartpv.cn
127.0.0.1      js4.all4ad.net
127.0.0.1      click2.ad4all.net
127.0.0.1      www.papaop.com
127.0.0.1      realname.webbrowser.smartpv.cn
127.0.0.1      login.webbrowser.smartpv.cn
127.0.0.1      www.cnphp5.com
127.0.0.1      www.133c.cn
127.0.0.1      zhoupk256.3322.org
127.0.0.1      udp.hjob123.com
127.0.0.1      d4.kkads.cn
127.0.0.1      www.zhaoyou8.com
127.0.0.1      www.kkads.cn
127.0.0.1      travel.yahoo550.com
127.0.0.1      soft.16990.com
127.0.0.1      livenews.265.com
127.0.0.1      bak.hjob123.com
127.0.0.1      www.jesuser.cn
127.0.0.1      class.caiyi8.com
127.0.0.1      ownload.baofeng.com
127.0.0.1      www.177i.com
127.0.0.1      www.81891111.com
127.0.0.1      33.xingaide8.cn
127.0.0.1      444.916kk.com
127.0.0.1      www.916kk.com
127.0.0.1      soft2.86sifu.com
127.0.0.1      google.netcdn.com
127.0.0.1      lm.9cdn.com
127.0.0.1      www.z88.com.cn
127.0.0.1      adswin.unet.hk
127.0.0.1      www.borlander.com.cn
127.0.0.1      cab.borlander.com.cn
127.0.0.1      www.333292.com
127.0.0.1      net.jnnic.com
127.0.0.1      www.plunix.org
127.0.0.1      ip.9cdn.com
127.0.0.1      test8.b190.west263.cn
127.0.0.1      yz.jz173.com
127.0.0.1      www.yy17173.cn
127.0.0.1      www.daydayshop.cn
127.0.0.1      www.yahoo550.com
127.0.0.1      wifayy.51vip.biz
127.0.0.1      sss.969222.com
127.0.0.1      stats.ucantv.com
127.0.0.1      node1.ucantv.com
127.0.0.1      x5.ioeruwu.com
127.0.0.1      p.jfglass.net
127.0.0.1      x4.ioeruwu.com
127.0.0.1      www.tyw10.cn
127.0.0.1      push.cpushpop.com
127.0.0.1      axcx.3322.org
127.0.0.1      www.our9988.cn
127.0.0.1      update.borlander.cn
127.0.0.1      www.666888ip.cn
127.0.0.1      pr.749571.com
————————————————————————————————————
再重启电脑，看看那些驱动和服务怎样。

说说具体的病毒文件名和路径。

一个是C:\WINDOWS\system32\drivers里的9lxc4.sys
一个是C:\WINDOWS\system32里的dkm6.dll

这里官网下载冰刃强制删除那俩个文件：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

那上面的那些还用修改吗？

你自己看啦
去看看对应文件。

或者这俩个搞了没毒，你不弄就不弄吧。

难道你自己都不知道那些文件是什么？？？

【回复“天月来了”的帖子】
上面的一看就是病毒，应该瑞星不认吧，里面应该包含病毒主程序。建议处理一下

日志发出去后 一般是改不了的



















www.fsrlw.cn