瑞星卡卡安全论坛

另外发现c:\windows\fonts\ijdycpaw.dll 属性SH.

日志见附件。
一定要帮帮我！
谢谢。

附件: SREngLOG-zhj.log (2008-8-19 23:31:30, 50.68 K)
该附件被下载次数 116

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

http://bbs.ikaka.com/showtopic.aspx?topicid=8442813&page=4
35楼的东东
解压后运行
一次性删除以下文件（选抑制再生)：
C:\Program Files\Tencent\QQ\zsjfmj.dll
C:\Program Files\Tencent\QQ\WSOCK32.DLL

完了
新日志

暴力删除之后的新日志：

附件: SREngLOG-new.log (2008-8-20 0:01:07, 54.20 K)
该附件被下载次数 90

我没有重新启动

重新启动sreng后的日志：

附件: SREngLOG-new1.log (2008-8-20 0:07:17, 52.97 K)
该附件被下载次数 111

一次性删除：
再弄新日志
刚刚丢文件了

C:\WINDOWS\system32\kbdgrms.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\dfqiewwk.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\slcyf.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\tdfhex.dll
C:\Program Files\Tencent\QQ\zsjfmj.dll
C:\Program Files\Tencent\QQ\WSOCK32.DLL

1.建议使用XDelBox删除以下文件：(XDelBox1.7支持奥运版下载),系统盘非C盘的或是vista系统的建议下载费尔木马强力清除助手删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作（重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files）。运行xdelbox前最好卸载所有可移动存储设备。

c:\program files\tencent\qq\wsock32.dll
c:\program files\tencent\qq\zsjfmj.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dfqiewwk.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\kbdgrms.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\slcyf.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\kduqx.dll
c:\windows\system32\wpgcj.dll
c:\program files\internet explorer\iexplore32.win
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\windows\system32\jhrcar.dll
c:\program files\internet explorer\plugins\winsys8k.sys
c:\progra~1\lgxg\vqhq.dll
c:\docume~1\david\locals~1\temp\tmp29d.tmp
c:\docume~1\david\locals~1\temp\usbcams3.sys
c:\docume~1\david\locals~1\temp\usbhcid.sys
c:\docume~1\david\locals~1\temp\tmp2bb.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{E560642D-A32D-432c-9E7E-9A135CC37E0F}]    <C:\WINDOWS\system32\kbdgrms.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\dfqiewwk.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{EE12D60D-AD9A-4095-B839-3BE6862679FD}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jhrcar.dll>
[{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8k.Sys>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Windows qlcl RunThem / qlcl102]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\lgxg\vqhq.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[TL / TL]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp29D.tmp>
[Sc Manager / Sc Manager]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\usbcams3.sys>
[iCafe Manager / iCafe Manager]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\usbhcid.sys>
[CQSJ / CQSJ]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp2BB.tmp>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>

下载windows清理助手升级到最新处理下
http://www.arswp.com/download/arswp2/arswp2.zip

病毒还在；你确认你的操作正确了吗

两个删除文件清单，我应该照谁的指令办？

谢谢两位

你认为XDELbox能启动么？
启动就花屏
不信你试试:default5:

10楼说得对，所以我就问了一下。

但是10楼，你的文件清单比7楼少

我在等待。。。

JAV还等
越等木马越多

JAVA还想一步处理完？
除非重新分区
再重装系统

你就等吧

赶紧操作
汗死:default3: :default3:

无语，楼主要是不放心可以用超级巡警文件暴力删除工具v1.4删除。（需要复制要删除的文件全部路径信息，粘贴(按下这两键Ctrl + V)到删除列表。

操作不够直接，不能右键直接粘贴。）
下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=425761

附件: SREngLOG-new2.log (2008-8-20 0:31:42, 52.67 K)
该附件被下载次数 86

不是不放心，我是不懂，不敢使用这些要命的软件。

1.不如格式化C盘，重装系统好
彻底么，QQ在C盘，重装可以免除后患的

或
2.超级巡警(选择抑制再生）删除7楼列的文件
立即按主机箱二代重启键重启
新日志

1在我启动QQ时，提示winsock32.dll无效，启动失败。
2所以，我卸载了QQ；
3我把document setting下的.tmp都暴力删除了
4暴力关机
5启动时速度快了许多
6最新日志

附件: SREngLOG-new5.log (2008-8-20 1:03:22, 31.20 K)
该附件被下载次数 80

我刚才试了一下，卡卡6安装，竟然成功了。

进程项中已无病毒文件，请按我回复中进行清理下。

用巡警删除下面文件
c:\windows\system32\adsntzt.dll
c:\windows\system32\kbdgrms.dll
c:\windows\system32\dfqiewwk.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\slcyf.dll
c:\windows\system32\tdfhex.dll
c:\program files\internet explorer\iexplore32.win
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\windows\system32\jhrcar.dll
c:\program files\internet explorer\plugins\winsys8k.sys
"c:\program files\rising\rav\ravtask.exe" -system


c:\docume~1\david\locals~1\temp\tmp29d.tmp
c:\docume~1\david\locals~1\temp\usbcams3.sys
c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys
c:\windows\system32\drivers\edk2.sys
c:\windows\system32\drivers\d347prt.sys
c:\windows\system32\drivers\d347bus.sys
c:\docume~1\david\locals~1\temp\tmp2bb.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[kbdgrms.dll]    <C:\WINDOWS\system32\kbdgrms.dll>
[dfqiewwk.dll]    <C:\WINDOWS\system32\dfqiewwk.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[taucioha.dll]    <C:\WINDOWS\system32\dfqiewwk.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[xqhdk]    <C:\WINDOWS\system32\slcyf.dll>
[{E560642D-A32D-432c-9E7E-9A135CC37E0F}]    <C:\WINDOWS\system32\kbdgrms.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\dfqiewwk.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{EE12D60D-AD9A-4095-B839-3BE6862679FD}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jhrcar.dll>
[{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8k.Sys>
[RavTask]    <"C:\Program Files\Rising\Rav\RavTask.exe" -system>
[ShowLOMControl]    <
>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[TL / TL]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp29D.tmp>
[Sc Manager / Sc Manager]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\usbcams3.sys>
[ProtectorA / ProtectorA]    <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys>
[Protector / Protector]    <system32\drivers\Protector.sys>
[edk / edk2]    <\SystemRoot\System32\DRIVERS\edk2.sys>
[d347prt / d347prt]    <\SystemRoot\System32\Drivers\d347prt.sys>
[d347bus / d347bus]    <\SystemRoot\system32\DRIVERS\d347bus.sys>
[CQSJ / CQSJ]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp2BB.tmp>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>

[

我想问下小狮子，为什么xelbox不能用了。。。。

1
非常郑重的感谢所有帮助我的大虾朋友

2
尤其最早的aaccbbdd

3
temp下已经不再产生新的.tmp了

4
系统启动快了

5计划重新安装一个瑞星2008免费版先用一年

再次谢谢各位

已经这么晚了，向你们的专业，敬业，致敬！！！

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\microsoft activesync\rapiproxystub.dll(这个注意，正常的rapiproxystub.dll是版本信息是微软的，用于Rapi代理组件。要注意检查，如果不是微软，就可能是病毒，此例中可能不是，因为该电脑有装手机同步软件，但这里专门列出识别的内容供大家参考)
c:\windows\system32\adsntzt.dll
c:\windows\system32\kbdgrms.dll
c:\windows\system32\dfqiewwk.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\slcyf.dll
c:\windows\system32\tdfhex.dll
c:\program files\internet explorer\iexplore32.win
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\windows\system32\jhrcar.dll
c:\program files\internet explorer\plugins\winsys8k.sys
c:\progra~1\lgxg\vqhq.dll
c:\docume~1\david\locals~1\temp\tmp29d.tmp
c:\docume~1\david\locals~1\temp\usbcams3.sys
c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys
c:\docume~1\david\locals~1\temp\usbhcid.sys
c:\windows\system32\drivers\edk2.sys
c:\docume~1\david\locals~1\temp\tmp2bb.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[kbdgrms.dll]    <C:\WINDOWS\system32\kbdgrms.dll>
[dfqiewwk.dll]    <C:\WINDOWS\system32\dfqiewwk.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[taucioha.dll]    <C:\WINDOWS\system32\dfqiewwk.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[xqhdk]    <C:\WINDOWS\system32\slcyf.dll>
[{E560642D-A32D-432c-9E7E-9A135CC37E0F}]    <C:\WINDOWS\system32\kbdgrms.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\dfqiewwk.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{EE12D60D-AD9A-4095-B839-3BE6862679FD}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jhrcar.dll>
[{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8k.Sys>
[ShowLOMControl]    <
>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Windows qlcl RunThem / qlcl102]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\lgxg\vqhq.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[TL / TL]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp29D.tmp>
[Sc Manager / Sc Manager]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\usbcams3.sys>
[ProtectorA / ProtectorA]    <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys>
[Protector / Protector]    <system32\drivers\Protector.sys>
[iCafe Manager / iCafe Manager]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\usbhcid.sys>
[edk / edk2]    <\SystemRoot\System32\DRIVERS\edk2.sys>
[CQSJ / CQSJ]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp2BB.tmp>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>

下载windows清理助手清理恶意软件
http://www.arswp.com/download.html

因为XD工具的广为使用

所以目前木马群病毒已适当的阻止XD的正常使用了

偶尔能用

大多时候不能用了

XD工具在病毒文件量少的系统里还是不错的

以及删除驱动部分