【求助】还是不行！！！！ bbs.ikaka.com

‖白沙‖ - 2008-3-14 17:37:00

打开文件夹和程序、网速变慢，图片打不开，用瑞星杀了N次毒，安全模式下也杀了，找出来的病毒也删除了，可是还是解决不了。该怎么办，谢谢！！！！
AdWare.Win32.Dodolook.gsj 需要解压缩后杀毒
AdWare.Win32.Dodolook.GEN 删除成功
AdWare.Win32.Cinmus.cge 需要解压缩后杀毒
AdWare.Win32.Dodolook.GEN 需要解压缩后杀毒
AdWare.Win32.Dodolook.gsj 需要解压缩后杀毒
Dropper.Agent.ccl 删除成功
Dropper.Win32.Agent.zay 需要解压缩后杀毒
Trojan.DL.Agent.vp 需要解压缩后杀毒

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

天月来了 - 2008-3-14 17:39:00

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

还有你那杀毒软件的杀毒日志导出压缩后发来看看，具体的病毒文件名和路径

‖白沙‖ - 2008-3-14 17:45:00

是这个吗？

附件: 9887582008314173320.txt

‖白沙‖ - 2008-3-14 17:48:00

我觉得是木马，可是杀不掉，杀了很多次了

天月来了 - 2008-3-14 18:02:00

这个是你的什么工具？？？？？？

F:\工具\数据恢复\setup.exe

愿意的话下面操作中一起删除它

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\Documents and Settings\leslieyaya\Local Settings\Temporary Internet Files\Content.IE5\CH012B8T\dodolook135[1].exe
C:\WINDOWS\dodolook135.exe
C:\WINDOWS\Temp\37943165.exe
C:\WINDOWS\Temp\49243910.exe
C:\Documents and Settings\leslieyaya\Local Settings\Temporary Internet Files\Content.IE5\CH012B8T\dodolook135[1].exe
C:\Documents and Settings\leslieyaya\Local Settings\Temporary Internet Files\Content.IE5\CH012B8T\dodolook135[1].exe
C:\Documents and Settings\leslieyaya\Local Settings\Temp\remotesetup.exe
F:\工具\数据恢复\setup.exe

再清空IE缓存，清空临时文件夹。

————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

这里下载 W i n d o w s 清理助手，清理你那系统。
http://www.arswp.com/

‖白沙‖ - 2008-3-14 18:03:00

无网络连接时打开程序速度正常，只要连接就慢了。另外发现重启开机无法读取启动盘。

日不懂啊 - 2008-3-14 18:10:00

另外发现重启开机无法读取启动盘。

什么启动盘？

你说硬盘还是启动光盘？

天月来了 - 2008-3-14 18:10:00

无法读取启动盘??????

什么启动盘？？如果是想光盘启动，你得设置BIOS里，从光盘启动，才可以的。

还有大兄弟

你的SRENG日志哪！！！！！！！！！！

哪里去了啊

快扫来看看啊

‖白沙‖ - 2008-3-14 20:10:00

日志！只要连接网络就慢得不行！

附件: 9887582008314195832.txt

天月来了 - 2008-3-14 20:31:00

下面这几个驱动一直不知道是什么。你自己知道吗？
==================================
驱动程序
[fhzl2 / fhzl2][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\fhzl2.ahc><N/A>

[XDva074 / XDva074][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva074.sys><N/A>

[XDva090 / XDva090][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva090.sys><N/A>

[XDva092 / XDva092][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva092.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[0vzc4bd4z / 0vzc4bd4zh][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\0vzc4bd4zh.sys><N/A>

[mhsejep / mhsejep][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\mhsejep.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
{9A568672-D437-469E-86C2-F6E4A1156071} <C:\WINDOWS\system32\lmntmoqppg.dll, N/A>
[InputPassWd Class]
{3A4C8311-C151-4462-BDE9-F777ABEE0063} <C:\WebDll.dll, >
[InputPassWd Class]
{3A4C8311-C151-4462-BDE9-F777ABEE0063} <C:\WebDll.dll, >
[]
{9A568672-D437-469E-86C2-F6E4A1156071} <C:\WINDOWS\system32\lmntmoqppg.dll, N/A>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本，全盘杀毒。

这里官网下载 W i n d o w s 清理助手，清理你那系统。
http://www.arswp.com/

清空IE缓存，清空临时文件夹。

超级游戏迷 - 2008-3-14 20:42:00

引用:

【‖白沙‖的贴子】日志！只要连接网络就慢得不行！
………………

个人认为以下项目和对应文件有问题（3721王者归来，汗一下）：

注册表项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<CnsMin><Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<MediaCheck><C:\PROGRA~1\Kuree\MService.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D157330A-9EF3-49F8-9A67-4141AC41ADD4}><C:\WINDOWS\DOWNLO~1\CnsHook.dll>

驱动程序
[0vzc4bd4z / 0vzc4bd4zh][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\0vzc4bd4zh.sys><N/A>
[CnsStd / CnsStd][Running/Auto Start]
<\SystemRoot\System32\drivers\CnsStd.sys><国风因特软件（北京）有限公司>
[fhzl2 / fhzl2][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\fhzl2.ahc><N/A>
[mhsejep / mhsejep][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\mhsejep.sys><N/A>
[XDva074 / XDva074][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva074.sys><N/A>
[XDva090 / XDva090][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva090.sys><N/A>
[XDva092 / XDva092][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva092.sys><N/A>
[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>

浏览器加载项
[Promote Class]
{0FA24E3E-422C-4D94-A125-104F32352C90} <C:\WINDOWS\system32\promote.dll, >
[InputPassWd Class]
{3A4C8311-C151-4462-BDE9-F777ABEE0063} <C:\WebDll.dll, >
[]
{9A568672-D437-469E-86C2-F6E4A1156071} <C:\WINDOWS\system32\lmntmoqppg.dll, N/A>
[AutoLive]
{7CA83CF1-3AEA-42D0-A4E3-1594FC6E48B2} <C:\PROGRA~1\3721\autolive.dll, 国风因特软件（北京）有限公司>
[CnsHook Class]
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} <C:\WINDOWS\DOWNLO~1\CnsHook.dll, 国风因特软件（北京）有限公司>

HOSTS 文件
219.153.32.215 auto.search.msn.com

正在运行的进程实在太多了，没看完@_@

‖白沙‖ - 2008-3-14 21:03:00

【回复“天月来了”的帖子】

正常了，感谢斑竹，杀毒中.......
驱动程序
[0vzc4bd4z / 0vzc4bd4zh][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\0vzc4bd4zh.sys><N/A>

[mhsejep / mhsejep][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\mhsejep.sys><N/A>

选择“Disabled”不会有影响吧。

‖白沙‖ - 2008-3-14 21:04:00

【回复“超级游戏迷”的帖子】

那个东西是比较难分析，又多又复杂，你再学习学习，希望可以自立门户。。。。。

天月来了 - 2008-3-14 21:05:00

引用:

【‖白沙‖的贴子】【回复“超级游戏迷”的帖子】

那个东西是比较难分析，又多又复杂，你再学习学习，希望可以自立门户。。。。。
………………

你可别说他，他那是懒的原因。

实际上他清楚的很。

“Disabled”就是禁止的意思，和删除几乎一样。

最终都是为了终止那东西自运行

‖白沙‖ - 2008-3-14 21:09:00

【回复“天月来了”的帖子】
恩，知道了。还有几个你不知道的驱动，我也不知道是什么，我想删了，但怕是系统驱动什么的，能帮我看是不是系统文件，只要不会把系统弄摊我就删了。
再次感谢！

天月来了 - 2008-3-14 21:14:00

那你可以还用SRENG工具将那四个我不知道的驱动启动类型改为“Disabled”

重启电脑后观察一下，无异常，就没事了。

如果有什么异常，再将它的启动类型改回去就行了。

那四个驱动原本就不是Windows系统的。

‖白沙‖ - 2008-3-14 21:24:00

引用:

【天月来了的贴子】
你可别说他，他那是懒的原因。

实际上他清楚的很。

“Disabled”就是禁止的意思，和删除几乎一样。

最终都是为了终止那东西自运行

………………

呵呵，我不说，我也不用说了，他自己看得见，你直接说他懒就是了，他没脾气的

六月很热 - 2008-6-12 10:08:00

引用:

原帖由 天月来了 于 2008-3-14 17:39:00 发表
扫SRENG日志xxx坛来 <a href="http://www.kztechs.com/sreng/download.html" target="_blank">http://www.kztechs.com/sreng/download.html<;/a> 下载System Repair Engineer 1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）<

附件: SREngLOG.log

附件: 杀毒日志.txt

六月很热 - 2008-6-12 10:12:00

天月斑竹你好。我也是遇到Trojan.DL.Agent.vp 这个病毒怎么也杀不掉，杀了以后重启再杀又有了，我也试着在安全模式下杀了次。可是后来发现还是有的。现在不知道怎么才能有效的杀掉这个病毒。哎。我按你说的下载了System Repair Engineer，并把扫描报告保存以附件发楼上了，还有我的杀毒报告，不知道我把附件有没弄错。。但愿没有

ＦＳＴＶＣ - 2008-11-12 20:30:00

引用:

原帖由 天月来了 于 2008-3-14 17:39:00 发表
扫SRENG日志xxx坛来 <a href="http://www.kztechs.com/sreng/download.html" target="_blank">http://www.kztechs.com/sreng/download.html<;/a> 下载System Repair Engineer 1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）<

附件: SREngLOG.log

附件: SREngLOG.log

附件: 3rdUpdLog.TXT

附件: SREngLOG.log

ＦＳＴＶＣ - 2008-11-12 20:33:00

引用:

原帖由 ＦＳＴＶＣ 于 2008-11-12 20:30:00 发表
[quote] 原帖由 天月来了 于 2008-3-14 17:39:00 发表
扫SRENG日志xxx坛来 <a href="http://www.kztechs.com/sreng/download.html" target="_blank">[url=http://www.kz......

你好！我不知这样对不对，静待处理，谢谢！

超级游戏迷 - 2008-11-12 21:05:00

楼上二位，请开新帖求助！:default8:

豪斯登堡新郎 - 2008-11-12 22:20:00

请确认该文件是否正常
f:\声卡\setup.exe /speaker

1.这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

c:\windows\system32\taskmagr.exe
c:\windows\system32\wmdmpmsvc.dll
c:\00f26f58b29bd951.dat

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Portable Media Serial Number Service / WmdmPmSN]
[E7613EC6 / E7613EC6]
[E7613EC6 / E7613EC6]

启动项目－－服务－－驱动程序之如下项禁用：
[00f26f58b29bd951 / 00f26f58b29bd951]

豪斯登堡新郎 - 2008-11-12 22:21:00

现在就不知道为啥有人喜欢没事乱开贴有人就不喜欢开贴非得喜欢跟着别人的贴

是算边求助边拿分啊哈哈

fshkp - 2008-11-13 10:18:00

我是上面ＦＳＴＶＣ，昨天那个病毒还是没办法删除，
现在静待中，请赐教啊！

fshkp - 2008-11-13 10:27:00

引用:

原帖由 fshkp 于 2008-11-13 10:18:00 发表
我是上面ＦＳＴＶＣ，昨天那个病毒还是没办法删除，
现在静待中，请赐教啊！

附件: SREngLOG.log

fshkp - 2008-11-13 10:30:00

我上传这个资料对不对？

瑞星卡卡安全论坛