瑞星卡卡安全论坛

这几天开机就播放"广州女子医院咨询4008162888,"等等的广告,用瑞星杀毒却一个病毒也没有,声音还继续在播放,已经3天了,都不能开音响了,怎么办????

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0)

在控制面板打开声音和声音设备，切换到声音选项卡，声音方案选择windows默认
如果怀疑病毒修改，请楼主提供日志

使用System Repair Engineer扫描日志
http://hi.baidu.com/smallfrogs/blog/item/de28f11fa811eef0e1fe0b60.html
并将日志作为附件上传

操作方法：
1、下载后解压缩，运行“SREngLdr.EXE”；
2、如果无法打开请尝试运行“123.com”或“123.bat”；
3、打开后依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

日志文件保存后，直接将日志文件以附件的形式发这论坛来。
点击：我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了。

附件: SREngLOG.log

1.这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

c:\windows\system32\drivers\kbl1h0.sys
c:\windows\system32\dihprfrrnh.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[kbl1h / kbl1h0] 

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\dihprfrrnh.dll>

按你说的做了，还是一样在播放啊，还有用SREngLdr系统修复-文件关联：
状态：      扩展名：    描述:                            当前值：
错误          TXT            用于TXT打开方法        c:/windows/notepad.exe %1
错误          CHM          用于CHM打开方法        "hh.exe"%1
错误          INI              用于INI打开方法            c:/windows/System32/NOTEPAD.EXE %1

启动项目-注册表弹出警告：注册表值AppInit_DLLs被修改为非正常值

下面有扫描日志

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\kbl1h0.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[kbl1h / kbl1h0]    <System32\DRIVERS\kbl1h0.sys>


在控制面板打开声音和声音设备，切换到声音选项卡，声音方案选择windows默认

尝试一下用瑞星上网助手试试

执行重启删除无效,重启不了!

http://bbs.ikaka.com/showtopic-8442813.aspx
3楼的工具

此病毒很奇怪,我只要刷新一下桌面它就不再播放,这几天试了几次都是这样,如果不刷新桌面它就一直播放

请再上传一份日志看下。

我在以前装系统的时候装了一键还原精灵,前天我将系统还原后一整天都没有出现播放广告的情况,我以为病毒没了,因为我还原系统后要装好多软件,很麻烦,于是我将系统重新备份了,可今天开机又出现了,该怎么办啊!!!请高手帮帮忙!这个是什么病毒啊?

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，只清理高危险项目

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

如还不能运行尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527）
如2.6的能用，请勿使用2.4版本

4.为了最大程度减少对病毒的误判，和对病毒准确定位和判断，必须同时上传金山清理专家日志
下载金山清理专家

http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告



5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒区.已发帖请跟贴，勿另开新帖。

谢谢!

附件: SREngLOG.log

下载 XdelBox 删除
以下

c:\windows\System32\DRIVERS\kbl1h0.sys
点下面下载 还有操作说明
http://bbs.ikaka.com/showtopic-8536393.aspx


完毕后
下载瑞星注册表修复工具

附件: RegClean.rar (2008-9-29 10:52:58, 179.76 K)
该附件被下载次数 190

扫描下，看是否有待修复项，有则修复。

日志显示这两个东西还是没删了啊
c:\windows\system32\drivers\kbl1h0.sys
c:\windows\system32\dihprfrrnh.dll

启动项目 －－ 服务－－ WINS32服务之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）
[kbl1h / kbl1h0][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\kbl1h0.sys><N/A>
系统修复－－　浏览器加载项之如下项删除：
[]
  {13D4CDBB-20AE-4B97-8472-3FBD98560D3D} <C:\WINDOWS\system32\dihprfrrnh.dll, N/A>

已删除此两项,请继续指点,谢谢!

两份日志:

附件: Report.txt

附件: SREngLOG.log

c:\windows\system32\drivers\kbl1h0.sys
一直没删掉啊，还在。用XdelBox 删除删除的时候勾选上抑制再生看看效果
同时，启动项目 －－ 服务－－ WINS32服务之如下项删除：
选中
[kbl1h / kbl1h0][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\kbl1h0.sys><N/A>
点"删除服务"，点"设置"，注意弹出的窗口中要点"否NO"才是确认删除服务

XdelBox的重启删除无效，下载了两个版本都是一样

那就去http://bbs.ikaka.com/showtopic-8442813.aspx三楼
下载费尔木马强力清除助手或者超级巡警文件暴力删除工具同样处理那个文件

照做了,一切还是老样子,谁知道这个是什么病毒啊,我在网上查了下,好想也有不少人中了类似的病毒,有没有高手搞定它啊

新日志看看