中病毒了,试了好几种专杀工具无果,急求大侠们帮看看系统日志,谢谢ACBD bbs.ikaka.com

holdface - 2008-8-30 18:25:00

瑞星防火墙被强制删除,但杀毒软件还在并能使用，但找不到病毒.并且无法升级
重装防火墙,卡卡助手均装不上，也无法升级
所有反病毒网站都打不开,硬盘下发现隐藏的anuorun.inf文件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件: SREngLOG.log

天月来了 - 2008-8-30 18:43:00

这些是什么：

==================================
驱动程序
[0000ab89 / 0000ab89][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ab89.sys><N/A>

[0000b687 / 0000b687][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000b687.sys><N/A>

[0000c329 / 0000c329][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c329.sys><N/A>

[0000c46a / 0000c46a][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c46a.sys><N/A>

[0000c673 / 0000c673][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c673.sys><N/A>

[0000c8fd / 0000c8fd][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c8fd.sys><N/A>

[0000ca84 / 0000ca84][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ca84.sys><N/A>

[0000d3a1 / 0000d3a1][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000d3a1.sys><N/A>

[0000d492 / 0000d492][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000d492.sys><N/A>

[0000df68 / 0000df68][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000df68.sys><N/A>

[0000f405 / 0000f405][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000f405.sys><N/A>

[00013c8c / 00013c8c][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00013c8c.sys><N/A>

[00d22da6 / 00d22da6][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00d22da6.sys><N/A>

[bootdrv / bootdrv][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\bootdrv.sys><N/A>

[ddsxeiservice2 / ddsxeiservice][Stopped/Manual Start]
<\??\C:\sXe Injected\ddsxei.sys><N/A>

[vv1dap32Drv / vv1dap32Drv][Running/Manual Start]
<\??\C:\WINDOWS\system32\vv1dap32.sys><N/A>

[0000ef4a / 0000ef4a][Running/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ef4a.sys><N/A>

日志发现你的防火墙和杀毒软件都需要卸载后重装了。

mini8mimi - 2008-8-30 18:46:00

删除驱动
[0000ab89 / 0000ab89][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ab89.sys><N/A>
[0000b687 / 0000b687][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000b687.sys><N/A>
[0000c329 / 0000c329][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c329.sys><N/A>
[0000c46a / 0000c46a][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c46a.sys><N/A>
[0000c673 / 0000c673][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c673.sys><N/A>
[0000c8fd / 0000c8fd][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c8fd.sys><N/A>
[0000ca84 / 0000ca84][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ca84.sys><N/A>
[0000d3a1 / 0000d3a1][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000d3a1.sys><N/A>
[0000d492 / 0000d492][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000d492.sys><N/A>
[0000df68 / 0000df68][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000df68.sys><N/A>
[0000f405 / 0000f405][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000f405.sys><N/A>
[00013c8c / 00013c8c][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00013c8c.sys><N/A>
[00d22da6 / 00d22da6][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00d22da6.sys><N/A>

[oreans32 / oreans32][Running/System Start]
<\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>

[0000ef4a / 0000ef4a][Running/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ef4a.sys><N/A>

holdface - 2008-8-30 18:49:00

瑞星防火墙已经是被删除了的，试图重装但中途就被强制退出

楼上说的这些驱动怎么删??我比较菜...:default3:

aaccbbdd - 2008-8-30 18:55:00

瑞星软件卸载，重装

SRENG- 启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）
[0000ab89 / 0000ab89][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ab89.sys><N/A>

[0000b687 / 0000b687][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000b687.sys><N/A>

[0000c329 / 0000c329][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c329.sys><N/A>

[0000c46a / 0000c46a][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c46a.sys><N/A>

[0000c673 / 0000c673][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c673.sys><N/A>

[0000c8fd / 0000c8fd][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000c8fd.sys><N/A>

[0000ca84 / 0000ca84][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ca84.sys><N/A>

[0000d3a1 / 0000d3a1][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000d3a1.sys><N/A>

[0000d492 / 0000d492][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000d492.sys><N/A>

[0000df68 / 0000df68][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000df68.sys><N/A>

[0000f405 / 0000f405][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000f405.sys><N/A>

[00013c8c / 00013c8c][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00013c8c.sys><N/A>

[00d22da6 / 00d22da6][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00d22da6.sys><N/A>

[bootdrv / bootdrv][Stopped/Boot Start]
<\SystemRoot\System32\Drivers\bootdrv.sys><N/A>

[ddsxeiservice2 / ddsxeiservice][Stopped/Manual Start]
<\??\C:\sXe Injected\ddsxei.sys><N/A>

[vv1dap32Drv / vv1dap32Drv][Running/Manual Start]
<\??\C:\WINDOWS\system32\vv1dap32.sys><N/A>

[0000ef4a / 0000ef4a][Running/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ef4a.sys><N/A>

吉尔儿 - 2008-8-30 18:56:00

用冰刃强制删除

user2007 - 2008-8-30 19:11:00

冰人，有强制删除功能。。。？

aaccbbdd - 2008-8-30 19:15:00

可以删除文件
只能禁用驱动的
不能删除驱动
好像:default5:

holdface - 2008-8-30 19:17:00

重启之后反病毒网站又不能登陆了，之前删除的[00d22da6 / 00d22da6][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\00d22da6.sys><N/A>
再次出现.
不过这次成功打开了360安全卫士,瑞星防火墙依然安装中途强制退出

aaccbbdd - 2008-8-30 19:20:00

新SRENG日志看看

删除不了？
是我失误了
sorry

holdface - 2008-8-30 19:24:00

附件: SREngLOG2.log (2008-8-30 19:25:07, 34.41 K)
该附件被下载次数 224

22222

aaccbbdd - 2008-8-30 19:30:00

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm 的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\Drivers\0000ce4f.sys
C:\WINDOWS\system32\vv1dap32.exe
C:\WINDOWS\system32\Drivers\00d22da6.sys
启动项目－－服务－－ Win32服务应用程序之如下项禁用：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[vv1dap32 / vv1dap32][Stopped/Auto Start]
<C:\WINDOWS\system32\vv1dap32.exe><N/A>

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[00d22da6 / 00d22da6][Stopped/Disabled]
<\??\C:\WINDOWS\system32\Drivers\00d22da6.sys><N/A>
[0000ce4f / 0000ce4f][Running/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0000ce4f.sys><N/A>
[389359 / 389359][Running/]
<2 - 系统找不到指定的文件。
><N/A>

完了
新日志看看

holdface - 2008-8-30 20:07:00

附件: SREngLOG3.log (2008-8-30 20:07:39, 34.37 K)
该附件被下载次数 115

本次操作:
[00d22da6 / 00d22da6][Stopped/Disabled]
<\??\C:\WINDOWS\system32\Drivers\00d22da6.sys><N/A>
[389359 / 389359][Running/]
<2 - 系统找不到指定的文件。
C:\WINDOWS\system32\Drivers\00d22da6.sys
C:\WINDOWS\system32\Drivers\0000ce4f.sys
没有找到
重启之后之前打开的360卫士被强制删除,HOSTS文件再次被修改导致所有反病毒网站打不开

aaccbbdd - 2008-8-30 20:11:00

不对
病毒找不到了:default2:

不能重置Hosts？

holdface - 2008-8-30 20:14:00

每次连接网络都得打开sreng修改HOSTS,没连接网络之前打开SRENG并没有发现HOSTS里有内容...:default2:

aaccbbdd - 2008-8-30 20:15:00

修复安全项后
下载金山清理专家
http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
看看金山能不能找出问题

holdface - 2008-8-30 20:28:00

==============================================================
金山清理专家系统诊断报告

该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================

诊断时间: 2008-08-30, 20:29
诊断平台: Windows XP [5.1.2600] Service Pack 2
IE版本: Internet Explorer V6.0.2180.2900
计算机物理内存: 766(MB)
当前可用内存: 365(MB)
硬盘总大小: 37(GB)
硬盘可用空间: 9(GB)
清理专家版本: 2008.08.12.553
恶意软件库版本: 2008.08.06.1
漏洞库版本: 2008.08.14.1

==============================================================
启动文件夹位置
==============================================================

Common Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup: C:\Documents and Settings\face\「开始」菜单\程序\启动
Common Startup: %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
系统服务
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[AppMgmt] [已启用] <%SystemRoot%\System32\appmgmts.dll>

[HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>

[RfwProxySrv] [已启用] <c:\program files\rising\rfw\rfwproxy.exe>

[RfwService] [已启用] <c:\program files\rising\rfw\rfwsrv.exe>

==============================================================
驱动程序
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

[msacm.lhacm] [已启用] <lhacm.acm>

--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[ATSpy] [已启用] <\??\C:\WINDOWS\system32\ATSpy.sys>

[HookUrl] [已启用] <\??\C:\Program Files\Rising\Rfw\HookUrl.sys>

[RsFwDrv] [已启用] <\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys>

[SafeBoxKrnl] [已启用] <\??\C:\Program Files\360Safebox\SafeBoxKrnl.sys>

[sptd] [已启用] <System32\Drivers\sptd.sys>
文件路径: C:\WINDOWS\system32\Drivers\sptd.sys [文件无法访问]

==============================================================
ActiveX控件
==============================================================

该项来源: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats

[AddTask Class]
<{6A19C29D-ED45-4483-8999-9F939C8161F2}> <C:\Program Files\eREAD\eREAD\WebHook.dll>

==============================================================
其他安全区域
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

[显示摇曳 CPL 扩展] <deskpan.dll>

aaccbbdd - 2008-8-30 20:30:00

防火墙重装
别的正常

holdface - 2008-8-30 20:36:00

瑞星杀毒软件无法卸载了,点添加删除组件没反应,杂搞.直接点之前的备份安装包安装可以吗?

aaccbbdd - 2008-8-30 20:39:00

1.a.点击操作系统左下角的开始/运行
b.输入regedit
c.左边找到我的电脑/HKEY_LOCAL MACHINE/SOFTWARE/rising
d.找到rising下的rfw分支，右击点删除

2.删除瑞星防火墙安装文件夹
3.重装
可以用备份安装包

holdface - 2008-8-30 20:41:00

瑞星杀毒软件无法更新了，是不是也一样要重装?把RAV也删掉?

aaccbbdd - 2008-8-30 20:43:00

建议也删除
将瑞星的安装目录删除

重新安装瑞星软件

holdface - 2008-8-30 21:45:00

最新系统日志

附件: SREngLOG4.log (2008-8-30 21:45:41, 33.83 K)
该附件被下载次数 125

aaccbbdd - 2008-8-30 21:47:00

好像问题不大了

下载金山清理专家
http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
看看这个日志

holdface - 2008-8-30 21:49:00

==============================================================
金山清理专家系统诊断报告

该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================

诊断时间: 2008-08-30, 21:50
诊断平台: Windows XP [5.1.2600] Service Pack 2
IE版本: Internet Explorer V6.0.2180.2900
计算机物理内存: 766(MB)
当前可用内存: 438(MB)
硬盘总大小: 37(GB)
硬盘可用空间: 10(GB)
清理专家版本: 2008.08.12.553
恶意软件库版本: 2008.08.06.1
漏洞库版本: 2008.08.14.1

==============================================================
启动文件夹位置
==============================================================

Common Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup: C:\Documents and Settings\face\「开始」菜单\程序\启动
Common Startup: %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
系统服务
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[AppMgmt] [已启用] <%SystemRoot%\System32\appmgmts.dll>

[HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>

==============================================================
驱动程序
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

[msacm.lhacm] [已启用] <lhacm.acm>

--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[sptd] [已启用] <System32\Drivers\sptd.sys>
文件路径: C:\WINDOWS\system32\Drivers\sptd.sys [文件无法访问]

==============================================================
ActiveX控件
==============================================================

该项来源: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats

[AddTask Class]
<{6A19C29D-ED45-4483-8999-9F939C8161F2}> <C:\Program Files\eREAD\eREAD\WebHook.dll>

==============================================================
其他安全区域
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

[显示摇曳 CPL 扩展] <deskpan.dll>

aaccbbdd - 2008-8-30 21:51:00

正常
升级杀毒软件，全盘杀毒

holdface - 2008-8-30 21:54:00

现在打开SREng就会弹出个提示:
原因 API名字危险等级被下面模块所HOOK
入口点错误:CreateprocessA 高 Dest Addr:0x00D71FFD
入口点错误:CreateprocessW 高 Dest Addr:0x00D720E5
这有问题吗?

aaccbbdd - 2008-8-30 22:00:00

瑞星搞的:default14: :default14:

happysunday2003 - 2008-8-30 22:18:00

好像 sreng也扫不到了哦

瑞星卡卡安全论坛