瑞星卡卡安全论坛

早上正常上网,发现网页出现异常.然后查进程里,印象最深的有一个setup进程.运行卡卡提示了一堆病毒,有盗号木马和灰鸽子.清理后,运行WINDOWS清理助手,然后扫描日志.瑞星小伞由绿变红.不知中什么招,求助.附日志.

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

先用附件工具处理下~
然后


用SRENG删除
服务
[DHCP Clients / DHCP Clients][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\svhost.dll><N/A>
[Help and Support / helpsvc][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><(File is missing)>

删除驱动
[00007011 / 00007011][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\00007011.SYS><N/A>
[0f4b190440b39224 / 0f4b190440b39224][Stopped/Manual Start]
  <\??\C:\0f4b190440b39224.dat><N/A>
[CQSJ / CQSJ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\Owner\LOCALS~1\Temp\tmp5.tmp><N/A>
[npf / npf][Stopped/System Start]
  <2 - 系统找不到指定的文件。
><N/A>
[ZX / ZX][Stopped/Manual Start]
  <\??\C:\DOCUME~1\Owner\LOCALS~1\Temp\tmp1C.tmp><N/A>
[740ecc2052d05874 / 740ecc2052d05874][Running/Manual Start]
  <\??\C:\740ecc2052d05874.dat><N/A>





SRENG的使用方法可以看：http://bbs.ikaka.com/showtopic-8442813.aspx(注意，删除服务和驱动最后一个对话框选择“否”）

修复下瑞星杀软

附件: IFEO重定向劫持修复工具.rar

1.使用XDelBox删除以下文件：(XDelBox1.6下载)
说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。

c:\windows\system32\svhost.dll
c:\docume~1\owner\locals~1\temp\tmp5.tmp
c:\docume~1\owner\locals~1\temp\tmp1c.tmp
c:\windows\system32\drivers\00007011.sys
c:\0f4b190440b39224.dat
c:\740ecc2052d05874.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[IFEO[AutoRunKiller.exe]]    <C:\WINDOWS\system32\wuauc1t.exe>
[IFEO[Frameworkservice.EXE]]    <C:\WINDOWS\system32\wuauc1t.exe>
[IFEO[KASARP.exe]]    <C:\WINDOWS\system32\wuauc1t.exe>
[IFEO[VPC32.exe]]    <C:\WINDOWS\system32\wuauc1t.exe>
[IFEO[VPTRAY.exe]]    <C:\WINDOWS\system32\wuauc1t.exe>
[IFEO[WOPTILITIES.EXE]]    <C:\WINDOWS\system32\wuauc1t.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Help and Support / helpsvc]    <>
[DHCP Clients / DHCP Clients]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\svhost.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：

[CQSJ / CQSJ]    <\??\C:\DOCUME~1\Owner\LOCALS~1\Temp\tmp5.tmp>
[ZX / ZX]    <\??\C:\DOCUME~1\Owner\LOCALS~1\Temp\tmp1C.tmp>
[00007011 / 00007011]    <\SystemRoot\system32\drivers\00007011.SYS>
[0f4b190440b39224 / 0f4b190440b39224]    <\??\C:\0f4b190440b39224.dat>
[740ecc2052d05874 / 740ecc2052d05874]    <\??\C:\740ecc2052d05874.dat>


下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

请问 日不懂啊 ，这个文件是干什么的？
c:\740ecc2052d05874.dat

不知道啊，反正不是正常的东西~~~~

是坏家伙:default14: 干掉！

看似你的回复中没有，所以问一下，谢谢你。

小伞仍变红,怎么办?

哦，我是觉得只要把驱动删了，这个文件就不会运行了，所以删不删问题不大了


还是红的话，那就再扫个日志看看啊~~


对了，我叫你修复瑞星你做了么？

操作如下：开始----程序----瑞星杀毒软件---添加或删除组件----修复~~

目前的症状是：开机正常，然后日期迅速被变回２０００年，瑞星监控关闭.SREng扫描总提示有键值被修改,可能有病毒.但,WINDOWS清理助手 卡卡 瑞星杀毒均查不出毒.头疼

附件: SREngLOG.log

————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。
或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束Explorer.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器，结束相关进程。
在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{4F4F0064-71E0-4f0d-0025-708476C7815F}><C:\WINDOWS\system32\midimapfs2.dll>  [File is missing]
    <midimapfs2><C:\WINDOWS\system32\midimapfs2.dll>  [File is missing]
————————————————————————————————————————————————
下面这个也去删除吧，无用的东西。
==================================
启动文件夹
[Utility Tray]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Utility Tray.lnk --> C:\WINDOWS\system32\sistray.exe [File is missing]><N>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[0215161c8f7f9d30 / 0215161c8f7f9d30][Stopped/Manual Start]
  <\??\C:\0215161c8f7f9d30.dat><N/A>

[07143920b5682ece / 07143920b5682ece][Stopped/Manual Start]
  <\??\C:\07143920b5682ece.dat><N/A>

[0fc9006846e158bb / 0fc9006846e158bb][Stopped/Manual Start]
  <\??\C:\0fc9006846e158bb.dat><N/A>

[525e55c43177a701 / 525e55c43177a701][Stopped/Manual Start]
  <\??\C:\525e55c43177a701.dat><N/A>

[980490043af4e62d / 980490043af4e62d][Stopped/Manual Start]
  <\??\C:\980490043af4e62d.dat><N/A>

[a495d38c1a47d961 / a495d38c1a47d961][Stopped/Manual Start]
  <\??\C:\a495d38c1a47d961.dat><N/A>

[f0ab878c0d0f3fdc / f0ab878c0d0f3fdc][Stopped/Manual Start]
  <\??\C:\f0ab878c0d0f3fdc.dat><N/A>

[7ffb504861adac40 / 7ffb504861adac40][Running/Manual Start]
  <\??\C:\7ffb504861adac40.dat><N/A>
——————————————————————————————————————
你安装有卡巴么？没有的话就：
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[ids00026 / ids00026][Stopped/Manual Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys><N/A>

[ids00118 / ids00118][Stopped/Manual Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys><N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，
升级杀毒软件至最新版本全盘杀毒。

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

如果电脑时间还是一旦电脑彻底断电后，时间就变回2000年，那就得考虑是否主板电池没电了。

再补充点症状:
运行SREng,提示注册表值:AppInit_DLLS被修改为非法值.
入口点错误:NtcreateFile
入口点错误:NtWriteFile
入口点错误:ZwCreateFile
入口点错误:ZwWriteFile
入口点错误:CreateProcessA
入口点错误:CreateProcessW.
另外,出现了许多新的驱动器盘符.

<AppInit_DLLs>项的这个提示：
<AppInit_DLLs><ieprot.dll>
实际上是瑞星卡卡助手的

入口点错误也是防火墙导致的。

实际SRENG工具的这两个提示不是给普通用户看的。

可以不用管它。

至于新盘符，那是病毒恶意虚拟出来的。

你说说共多出多少呢？

哪几个？？

准确点:default7:

共六个:
J:  k: L: M:  N:  O:

天月版主,按上方操作,机器无法正常启动了,出现提示启动菜单,选择安全模式 带网络连接安全模式 最后一次正确配置 正常启动都不行了.出现XP欢迎画面后就重启.救救我.:default11:

那操作中，可能这两驱动不能动的
你动了么？

驱动程序
[ids00026 / ids00026][Stopped/Manual Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys><N/A>

[ids00118 / ids00118][Stopped/Manual Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys><N/A>

实在不行，重装系统吧

病毒在驱动那影响太大了

如果这个系统确实需要保留

常识找个PE光盘启动。或挂硬盘到别的电脑上。
将这两贴提到的系统文件都去挨个替换一遍吧

http://bbs.ikaka.com/showtopic-8417665.aspx
http://bbs.ikaka.com/showtopic-8501837.aspx

这几个文件异常，都可能不能进系统了。

那两个动了的.我都按贴子的说法做了.

那你到底安装卡巴没？
如果安装卡巴，就不要动它啊

（看来以后求助者电脑里任何软件的什么东西都不能乱建议了，一年里就建议这么一回，还出问题了。哭死）

:default2:

没有装卡巴呀.

总之是我的错了

不应该建议你去动那两驱动。

哪怕你没安装卡巴，也不能动的。

:default2:

能恢复过来不?

如果替换那些系统文件还不能进系统，就难了

如果你还能进安全模式什么的，倒是可以修改回来那启动类型的。

（真的对不起哦）:default2:

呵呵,别太自责了,天月版主.非常感谢你的帮助呢.

谢谢你没责备我

实际我自己可难过的呢:default8:

能帮我找个PE吗?我刻录一下子.

lqqk7大版主的签名里找找他的博客里看看。

或者网络上找吧，我没弄过。

pe进去了，认不出Ｃ盘了，提示Ｃ盘损坏:default21: :default21: :default21:

:default3: 这么强？找个恢复分区表的工具试着恢复一下试试。

:default3: 这么强？找个恢复分区表的工具试着恢复一下试试。