瑞星卡卡安全论坛

各位大侠一定要帮帮我啊，快折磨死了。

话说某日IE悄无声息地被改为这个网址了，同时也查出了这个病毒，我不知道二者是否有关系，但想尽各种办法都不行，这个病毒在Windows\system32\drivers\，用360安全卫士或冰刃当时显示删除了，其实一直都在，IE的话试过各种工具都改不回来。各位大侠看看我的日志吧：

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\windows\system32\drivers\qahjh.sys

  SRENG -启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[44y / 44ys][Stopped/Disabled]
  <\SystemRoot\System32\DRIVERS\44ys.sys><N/A>
[5vvvh / 5vvvh][Stopped/Disabled]
  <\SystemRoot\system32\drivers\5vvvh.sys><N/A>
[presafe / presafe][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\drivers\presafe.sys><N/A>
[qahj / qahjh][Running/Boot Start]
  <\SystemRoot\system32\drivers\qahjh.sys)><N/A>

大哥，使用XDelBox删除C:\windows\system32\drivers\qahjh.sys时，在选择立刻重启删除后完全没有反应（以前在对付别的病毒时我也用过这个，当时会马上重启的），怎么回事啊？我先用SRENG删除了你所说的驱动程序，打开SRENG时有提示说“注册表里APPINIT-Dlls被修改，默认值是0”，但是还是可以成功删除你所指的几项。重启电脑后，没有什么进展。

另外，从昨天开始，我的电脑不能切换输入法，用CTRL+SHIFT切除输入法时，提示“Ox4acedb65指令引用的0x00000008内存，该内存不能为read.

我重新扫描了一下，麻烦你帮我看看。

附件: SREngLOG.log

用sreng
删除启动项目=>注册表
    <tscfgwmijxsj.dll><C:\WINDOWS\system32\tscfgwmijxsj.dll>  [File is missing]

其他无异常..

为了保险
http://bbs.ikaka.com/showtopic-8442813.aspx
3楼的东东再删除下文件

使用下附件

附件: 解决内存不能读.rar

我看不懂啊大哥,怎么下载下来只有几K呢

那附件是解决不能读的问题

链接是删除文件的工具
PS：不要使用下载软件
用浏览器下载

你给的解决不能读的附件,我下载下来就是一个几K的记事本啊,打开全是一些网址.

还是进不了DOS,而且现在还出现了这个贴子3楼我所说的那些问题.怎么办啊.

开始-运行-CMD
输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1

977144975
加我Q

是错的

在注册表搜索qahjh.sys删除，进入安全模式删除试试

转载金山在命令行窗口下输入按回车
Copy code
for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1

完了后，再输入并回车
Copy code
for %1 in (%windir%\system32\*.dll) do regsvr32 /s %1

这个要好久，耐心等候

但也可能需要重启后整个效果才会出来。

谢谢你的关注,但试过了,没用

最新日志

附件: SREngLOG.log

启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[qahj / qahjh][Running/Boot Start]
  <\SystemRoot\system32\drivers\qahjh.sysr><N/A>

然后：1.问下开机
qahjh.sysr
是否被瑞星删除了？
2.用WINRAR进入drivers文件夹
看看qahjh.sysr
还在不？
如不在
说明下
病毒的死期就该到了

1.开机
qahjh.sysr
是否被瑞星删除了?NO!
2.用WINRAR进入drivers文件夹
看看qahjh.sysr
还在不？还在


我曾经用过360安全卫士的粉碎机和冰刃,当时都显示被删除了,其实还在

<C:\WINDOWS\system32\tscfgwmijxsj.dll>
　　DLL文件：tscfgwmijxsj or tscfgwmijxsj.dll
　　DLL名称：Trojan-PSW.Win32.OnLineGames.byhx
　　分析：tscfgwmijxsj.dll是木马Trojan-PSW.Win32.OnLineGames.byhx的文件。木马被执行后，在%SystemRoot%system32目录下释放动态库“tscfgwmijxsj.dll”，建议立即删除启动项目=>注册表。

用http://bbs.ikaka.com/showtopic-8442813.aspx
3楼的东东(除了XDELBOX）的工具

我的方案的核心是防病毒回写
前提必须是删除
C:\WINDOWS\system32\drivers\qahjh.sysr
务必用一切工具删除
删除后
跟帖说明

那个东西还没有删除啊？？？怎么这么难？？？

因为能回写:default2:

不知道有没有dos启动盘，进dos试试看看

前天想尽办法删除那个病毒，结果用了各种方法，但是仍然不行。最后用到超级巡警暴力文件删除器的时候，可能是删错了文件，重启后系统就进不去了。没办法，只有重装系统了。所以今天刚装完就上来说明一下，但是不管怎么样，还是感谢大家的帮助，以后有问题我还会上来请教大家的。