瑞星卡卡安全论坛

切换输入法毫无反应,,只有英文,右下角没有语言栏显示,病毒总杀不净,每次开机,还会自动打开C盘文件夹,高手指点啊!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: Report.txt

附件: SREngLOG.log

先下载工具：
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.7支持奥运版
卡卡上网安全助手6.0 http://download.rising.com.cn/for_down/kakatool/KaKaSetupv6.exe
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”

c:\windows\system32\tdffdl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\zgtwfx.dll
ntsd -d
c:\windows\system32\drivers\004cff9b.sys
c:\windows\system32\drivers\zrcrc.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\xypab.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\pxpqab.sys
c:\program files\qq2006\npkcrypt.sys
d:\program files\mcafee\mferkdk.sys
c:\windows\system32\drivers\acxyq.sys
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：

启动项目 －－ 注册表之如下项删除：
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}]    <C:\WINDOWS\system32\wrqszl.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>
[IFEO[AntiArp.exe]]    <ntsd -d>
[IFEO[DrvAnti.exe]]    <ntsd -d>
[IFEO[drwadins.exe]]    <ntsd -d>
[IFEO[drwebscd.exe]]    <ntsd -d>
[IFEO[drwebupw.exe]]    <ntsd -d>
[IFEO[filemon.exe]]    <ntsd -d>
[IFEO[GFRing3.exe]]    <ntsd -d>
[IFEO[GFUpd.exe]]    <ntsd -d>
[IFEO[OllyDBG.EXE]]    <ntsd -d>
[IFEO[OllyICE.EXE]]    <ntsd -d>
[IFEO[procexp.exe]]    <ntsd -d>
[IFEO[RavCopy.exe]]    <ntsd -d>
[IFEO[RavXP.exe]]    <ntsd -d>
[IFEO[RawCopy.exe]]    <ntsd -d>
[IFEO[regmon.exe]]    <ntsd -d>
[IFEO[RegTool.exe]]    <ntsd -d>
[IFEO[rfwProxy.exe]]    <ntsd -d>
[IFEO[rfwstub.exe]]    <ntsd -d>
[IFEO[spiderml.exe]]    <ntsd -d>
[IFEO[spidernt.exe]]    <ntsd -d>
[IFEO[spiderui.exe]]    <ntsd -d>
[IFEO[spml_set.exe]]    <ntsd -d>
[IFEO[taskmgar.exe]]    <ntsd -d>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[004cff9b / 004cff9b]    <\??\C:\WINDOWS\system32\Drivers\004cff9b.sys>
[zrcrc / zrcrc]    <\??\C:\WINDOWS\system32\drivers\zrcrc.sys>
[yvstq / yvstq]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[xypab / xypab]    <\??\C:\WINDOWS\system32\drivers\xypab.sys>
[sqnnl / sqnnl]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[pxpqab / pxpqab]    <\??\C:\WINDOWS\system32\drivers\pxpqab.sys>
[npkcrypt / npkcrypt]    <\??\C:\Program Files\QQ2006\npkcrypt.sys>
[VSCore mferkdk / mferkdk]    <\??\D:\Program Files\MCAFEE\mferkdk.sys>
[acxyq / acxyq]    <\??\C:\WINDOWS\system32\drivers\acxyq.sys>
———————————————————————————————————————
使用卡卡上网安全助手6.0，点击【一键搞定】按钮运行【卡卡医生】，在出现的窗口中有自动清除流行木马、自动清除流氓软件、自动修复系统等若干选项。勾选您所需要的功能，点击页面下方的【开始】按钮，即可一键轻松搞定电脑安全问题
———————————————————————————————————————
最后用卡卡上网安全助手6.0清理你的系统
【卡卡上网安全助手6.0使用帮助http://tool.ikaka.com/help.shtml】
———————————————————————————————————————

附件: 修复应用程序劫持项.zip

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\tdffdl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\drivers\004cff9b.sys
c:\windows\system32\drivers\zrcrc.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\xypab.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\pxpqab.sys
c:\windows\system32\drivers\acxyq.sys
c:\windows\system32\drivers\fwrzzanh.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}]    <C:\WINDOWS\system32\wrqszl.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[004cff9b / 004cff9b]    <\??\C:\WINDOWS\system32\Drivers\004cff9b.sys>
[zrcrc / zrcrc]    <\??\C:\WINDOWS\system32\drivers\zrcrc.sys>
[yvstq / yvstq]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[xypab / xypab]    <\??\C:\WINDOWS\system32\drivers\xypab.sys>
[sqnnl / sqnnl]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[pxpqab / pxpqab]    <\??\C:\WINDOWS\system32\drivers\pxpqab.sys>
[acxyq / acxyq]    <\??\C:\WINDOWS\system32\drivers\acxyq.sys>
[fwrzzanh / fwrzzanh]    <\SystemRoot\System32\DRIVERS\fwrzzanh.sys>

ctfmon.exe从dllcache文件夹拷到system32文件夹和WINDOWS文件夹
附件清理映像劫持

清理助手清理系统http://www.arswp.com/download.html

附件: 机器狗&映像劫持修复工具.rar

D:\Program Files\MCAFEE\mferkdk.sys

楼主安装了McAfee杀毒软件么？

安装过,删了

弄完了新日志看看

" ctfmon.exe从dllcache文件夹拷到system32文件夹和WINDOWS文件夹
附件清理映像劫持 "  ----- I did't know how to do that

切换输入法毫无反应,,只有英文,右下角没有语言栏显示,also,:default11:

附件: SREngLOG2.log

映像劫持已经清理掉了
开始--运行--输入dllcache，在这个文件夹中找到ctfmon.exe复制到
c:\windows和c:\windows\system32这两个文件夹下面

执行以下操作之后，从dllcache文件夹中找到ctfmon.exe复制到c:\windows\system32文件夹下面

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\004cff9b.sys
c:\windows\system32\drivers\zrcrc.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\xypab.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\pxpqab.sys
d:\program files\mcafee\mferkdk.sys
c:\windows\system32\drivers\fwrzzanh.sys
c:\windows\system32\drivers\acxyq.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[004cff9b / 004cff9b]    <\??\C:\WINDOWS\system32\Drivers\004cff9b.sys>
[zrcrc / zrcrc]    <\??\C:\WINDOWS\system32\drivers\zrcrc.sys>
[yvstq / yvstq]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[xypab / xypab]    <\??\C:\WINDOWS\system32\drivers\xypab.sys>
[sqnnl / sqnnl]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[pxpqab / pxpqab]    <\??\C:\WINDOWS\system32\drivers\pxpqab.sys>
[VSCore mferkdk / mferkdk]    <\??\D:\Program Files\MCAFEE\mferkdk.sys>
[fwrzzanh / fwrzzanh]    <\SystemRoot\System32\DRIVERS\fwrzzanh.sys>
[acxyq / acxyq]    <\??\C:\WINDOWS\system32\drivers\acxyq.sys>

雅虎助手之类的流氓软件
下载windows清理助手清理恶意软件进行清理
http://www.arswp.com/download/arswp/arswp2.rar

楼主之前已经删掉那些了
那些驱动也已经禁用了

终于可以打字啦,多谢各位帮忙!:default7:
我操作过前面那些,现在没毒了吧?新日志前面放上了,请高手再帮我看看哦
像我这样的电脑初手,弄那些真是汗,不过干完了很开心的，呵呵

我分析的是7楼的日志

那我是不是还是要按你的做一次呢

你可以先用sreng看看是否还有以上项目，如果有的话就可以删除

7楼那个日志里那些有问题的驱动本来已经被禁用了呀
再删一次也行~~

使用SREng修复下面各项：
启动项目 －－ 服务－－ 驱动程序之如下项禁用
"禁用"是不是启动类型改成disabled就行了,还是要把删除服务呢

禁用是改为disabled没错
那几个驱动留着也没用，删除也是可以的

机器狗