瑞星卡卡安全论坛

昨日晚上在家上ICBC时中了sizhu.exe
所有杀毒软件无法打开.连这些杀毒工具的网站也是一打开就自动关闭.
硬盘无法直接点击打开.
无法进入安全模式.用sreng无法修复.
求高手帮帮忙告诉我该怎么样才能让我的机器恢复好....拜谢拜谢.....


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA; MAXTHON 2.0)

请把那个病毒文件压缩发上来，顺便下载附件，扫描个SRENG日志上传（经修改过的扫描日志工具，可以在恶劣情况下运行）：

附件: abc.rar

我现在在公司,家里那台扫描了日志可是无法登录这个论坛啊....怎么传啊.....

还有个就是 无法打开任务管理器...
一打开就说任务管理器被系统管理员禁用..
我都要哭了...
请问一下我这种情况重装下系统能恢复吗?

将日志和可疑文件的压缩包复制到U盘，找正常机上网，插U盘，登陆论坛，上传日志和可疑文件压缩包……





应该是组策略设置的问题，先看看机器被毒的情况如何再说，如果情况不是太坏不用重装系统也可解决。

谢谢版主你的热心回复,我待会就回家去.但是我晚上非常需要使用家里的电脑.附近没有网吧.您大概判断一下像我这样的情况重装下系统能不能解决问题,需要注意些什么?谢谢你了.

不知道具体情况，无法判断。

如果病毒感染了系统以外分区的可执行文件，就很麻烦了，只能靠杀软清除病毒，因此，重装系统后请不要运行C盘以外驱动器下的可执行文件。

如果病毒在非系统驱动器根目录下释放了autorun.inf和一个病毒可执行文件，那么重装系统后不能访问任何非系统所在驱动器，否则病毒会死灰复燃。

如果采取重装系统的办法来解决，个人给出如下综合建议：
1、不要访问C盘以外的任何驱动器；
2、不要运行C盘以外的任何可执行文件；
3、重装系统后，第一时间将扫描日志发到论坛，如果扫描工具位于非系统所在驱动器，提前重新下载一个，放到干净的U盘，不要使用非系统盘里的SRENG扫描工具。

我的机器上C-G盘全部都有一个sizhu.exe和autorun.inf
看来情况就严重得和版主你所说的一样的了....
你所说的第3点.我下载一个扫描工具放到U盘后是不是直接就把他移到桌面运行后就行了?

sizhu.exe和autorun.inf全部删除

直接放在U盘运行,且要在重装系统后,否则U盘也会被感染

建议：回去后先把你已经扫描的日志发到邮箱里，然后上没病毒的计算机，从邮箱下载日志文件，登陆论坛并上传，不要用U盘直接从病机上拷贝日志文件，否则U盘会中毒的，进而可能感染其他正常计算机。

版主,你好.我在家里用木马群专杀试了下.然后升级瑞星全盘杀毒重启后又用win清理助手清理后,再扫锚了...
请你看下我上传的附件看还有哪里有问题?该怎么解决...谢谢你

附件: SREngLOG.log

在开机时按F8进安全模式,全盘杀毒

大哥,我第一个帖子里就说了无法进安全模式哦.....用sreng也无法修复安全模式


后面我用木马群专杀后升级瑞星全盘杀毒,再用win清理助手清理后又扫描了...就是我上面的扫描文件
你会看吗?会的话帮忙看下...

删除 具体方法见http://bbs.ikaka.com/showtopic-8442813.aspx
c:\windows\system32\rcmiyb.dll
c:\windows\system32\ttjuaz.dll
c:\windows\system32\drivers\rcmiyb.sys
c:\windows\system32\drivers\ttjuaz.sys
f:\lineage\npkycryp.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[xsyshf / xsyshf]    <C:\WINDOWS\system32\svchost.exe -k xsyshf-->%SystemRoot%\System32\rcmiyb.dll>
[qslrpk / qslrpk]    <C:\WINDOWS\system32\svchost.exe -k qslrpk-->%SystemRoot%\System32\ttjuaz.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[ysyshfoc / ysyshfoc]    <\??\C:\WINDOWS\system32\drivers\rcmiyb.sys>
[yslrpkpo / yslrpkpo]    <\??\C:\WINDOWS\system32\drivers\ttjuaz.sys>
[npkycryp / npkycryp]    <\??\F:\lineage\npkycryp.sys>

在拔掉网线的前提下按照15楼的提示完成操作后，联网，到我的网盘http://scj2007.ys168.com，找一个安全模式进不去导入注册表.rar，下载，解压缩，然后找到XP的文件夹，将其中的REG文件双击导入注册表，恢复安全模式。

我照你说的做了,前面两个和最后一个都找不到文件.只有中间两个找到了..用XDELBOX删除了能找到的两项..
然后重启后用sreng找不到你所说的服务和驱动......里面没有那三个文件啊!
我再次扫描后.附件如下.麻烦你再帮忙看下....

附件: SREngLOG.log

啊,我没拔网线做的....是不是现在要再拔掉再做一次?

啊 终于拔掉网线照做了...要删除的那5个文件一个都找不到了...后面用sreng要删除的文件都找到后删除了...
是不是现在要重启再把扫描文件传给你们看下啊?

下面是我重启后,连上网最新扫描的附件.麻烦版主看下机器是否还有问题...谢谢了

附件: SREngLOG.log

对了,游戏迷版主,我的安全模式可以进了...谢谢

东西都清理掉了
日志没什么问题了

谢谢游戏迷和开心101的帮助

把sreng的名修改一下，、如sreng222。然后修改后，打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
修复好后立刻重启按F8进安全模式
安全模式起来后切记不要进任何一个盘，否则病毒立刻发作
进安全模式后，点开始菜单->运行 输入cmd
打开命令行模式，默认应该在C:
输入命令 "cd\" 使你的路径进入到 C:\
输入命令 "dir/a" 应该可以看到 SiZhu.exe 和 autorun.inf 两个和病毒有关的文件
这两文件被加了系统文件的属性所以你无法直接用DEL指令删除
输入命令 "attrib SiZhu.exe" 可以看到文件的属性 SH
输入命令 "attrib -s -h SiZhu.exe" 去掉它的属性
输入命令 "del SiZhu.exe" 完成删除
输入命令 "attrib -s -h autorun.inf"
输入命令 "del autorun.inf" C: 的清除完成
输入命令 "D:" 进入D: 完成和C:下同样的操作删除这两个文件
之后依次进入 E: F: 删除你所有盘符下的这两个文件
到此病毒清除完成
此时你如果想在WINDOWS下进入你的电脑的各个盘符，你会发现无法打开
先不管它，等全部处理完，重启后就OK了
然后修复你的注册表
点开始菜单->运行 输入regedit
打开注册表编辑器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
这里面有你被禁止运行的杀毒软件，有你认识的杀毒软件的名字的键值就删掉，不认识的别乱删
理论上说键值为 "ntsd -d" 的都是被SiZhu病毒加进去的
之后杀毒软件就可以启动了
显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
将"CheckedValue"键值改为1
取消其开机自动运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将其中的SiZhu.exe删掉
之后要运行你的杀毒软件 进行全盘扫描 因为可能你的系统已经被下载了N多的木马 病毒
杀完毒后重启就OK了

真啰嗦

怎么哪见过呢