瑞星卡卡安全论坛

诸位高人，帮帮小妹妹吧，俺急的要哭了，5555555：
一、qqcvk.sys 是什么文件呀
服务名称：qqcvk
          显示名称：qqcvk
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\QQCVK.SYS
每启动一次，瑞星就提示该文件有RootKit.Win32.Mnless.agy病毒，清除病毒后再杀就不提示有病毒了；但再次启动，依然提示该文件有RootKit.Win32.Mnless.agy病毒；选择删除文件，显示该文件无法删除。
二、俺的电脑主页总是自动更改为www.3929.com,改注册表、改启动项、改IE设置、用瑞星、360、超级兔子等办法，均当时有效，重启就无效了，咋回事呀，怎么办呀，快帮帮我吧，多谢了！
补充一下：6项可疑驱动与服务：
        1、服务名称：AvgAsCln
          显示名称：AVG Anti-Spyware Clean Driver
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\AVGASCLN.SYS
          文件说明：GRISOFT, s.r.o.（风险）
          文件指纹：a27860c0ebe8da1eb651bf7b469064e1
          创建时间：2007年4月5日 09:24:55 AM
        2、服务名称：d346bus
          显示名称：
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\D346BUS.SYS
          文件说明：（风险）
          文件指纹：46bffe807e0d9da0ced37b885a529eeb
          创建时间：2007年5月3日 09:38:52 AM
        3、服务名称：d346prt
          显示名称：
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\D346PRT.SYS
          文件说明：（风险）
          文件指纹：d3aacfe782b4ffcf205d24fe6c38120c
          创建时间：2007年5月3日 09:38:52 AM
        4、服务名称：FLEXnet Licensing Service
          显示名称：FLEXnet Licensing Service
          文件位置：C:\PROGRAM FILES\COMMON FILES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE
          文件说明：Macrovision Europe Ltd.（风险）
          文件指纹：6562e955f5d4ec46918de07f6a2f3920
          创建时间：2008年9月21日 01:49:42 AM
        5、服务名称：nsmkxt
          显示名称：
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\NSMKXT.SYS
          文件说明：（风险）
          文件指纹：ef9ccfb9ac35a3e761b1d644a0f55c0a
          创建时间：2008年9月25日 04:23:04 PM
        6、服务名称：qqcvk
          显示名称：qqcvk
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\QQCVK.SYS
          文件说明：（风险）

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

上SRE..

http://www.kztechs.com/sreng/download.html

你那个服务就是病毒.

请到此 http://bbs.ikaka.com/showtopic-8536393.aspx
下载 SREng 日志工具 上传一份扫描报告。
建议扫描之前使用清理助手清理一遍系统  那条链接也有提供下载

附件: Report.txt

附件: SREngLOG.log

多谢嫩们的帮助，俺也很感激嫩们！

到此链接 ,看下操作说明
http://bbs.ikaka.com/showtopic-8536393.aspx
并下载Xdelbox 删除以下
C:\WINDOWS\system32\drivers\qqcvk.sysr
C:\WINDOWS\system32\drivers\nsmkxt.sys
C:\WINDOWS\system32\enc98.exe
C:\WINDOWS\system32\ua80.exe

补充一个映像劫持修复工具，可以先运行它。

附件: 映像劫持修复工具.rar (2008-9-30 7:48:40, 8.65 K)
该附件被下载次数 199

设备管理非即插即用驱动程序 那4个驱动禁用，D346BUS.SYS  D346PRT.SYS NSMKXT.SYS QQCVK.SYS重新启动进入安全模式全盘杀毒

金山清理专家-在线系统诊断
隐藏安全项后

修复以下项：
      [nsmkxt] [已启用]              <\??\C:\WINDOWS\system32\drivers\nsmkxt.sys>
        文件路径: C:\WINDOWS\system32\drivers\nsmkxt.sys [未知]

        [qqcvk] [已启用]              <system32\drivers\qqcvk.sys>

http://bbs.ikaka.com/showtopic-8442813.aspx
3楼的工具（解压后运行）‘
删除文件：
C:\WINDOWS\system32\drivers\nsmkxt.sys
C:\WINDOWS\system32\drivers\qqcvk.sys

一、aaccbbdd姐姐、叶陵君：（为了说清楚，俺说的很啰嗦，别嫌俺絮叨啊）
  俺按照你们指示的步骤操作了，一切还都算顺利.....。但Xdelbox俺不会用（汗如雨下，实在是太菜了，辜负哥哥姐姐们了），那个Xdelbox俺选重启它就不动弹。俺又按aaccbbdd姐姐给俺的地址上的三楼东东，下载了360文件粉碎器和费尔。360文件粉碎器只删了nsmkxt.sys删不了qqcvk.sys。费尔还好喔，似乎删了qqcvk.sys（俺看了文件夹qqcvk.sys没有了，但重启后瑞星依然提示qqcvk.sys文件有毒，怎么回事？）。叶陵君哥哥，嫩提示删除四个文件，enc98.exe和ua80.exe没有了，不知道是不是俺用了“映像劫持修复工具”修复后就没了？
  可最重要的是：重启后，主页依然要自动改为www.3929.com，这是咋整的呀？是不是文件还没有删除完整？
    二、海上涛头雪哥哥：嫩说4个驱动禁用，俺只会停用两个。（汗如雨下，各位哥哥和姐姐别骂我，俺感觉俺实在是太菜菜了）
    俺进设备管理器\选显示隐藏的设备\找到非即插即用驱动程序\只有NSMKXT.SYS 和QQCVK.SYS，D346BUS.SYS和 D346PRT.SYS找不到呀\俺停用了 NSMKXT.SYS 和QQCVK.SYS（文件不是删除了么，这里怎么还有呀？用不用卸载这两驱动呀？）
    三、目前状况就是这样，感谢哥哥姐姐给偶的帮助。有了你们，妹妹心里就有靠了，继续帮助妹妹好吗？
                    祝大姐姐、大哥哥 漂漂亮亮、开开心心、想啥来啥！节日快乐！！！

再删除一次
还是那文件

如删除了（去文件夹看，确实没文件了）
吱声
提供第二套方案

楼主小妹，我的经验也许对你有用，用KAKA上面的在线诊断，杀毒后马上重启系统，病毒好像就没了，我的病毒用瑞星杀毒很多次都杀不尽，最后是这样做才成功的。最好把KAKA上其他几个功能都用了。

不行

回写类东东

楼主其实可以进入设备管理器
显示隐藏设备

找到可疑的项目
处理下

那两个没有了是瑞星杀掉了，或者用其他软件删除了，如果确定这两是病毒可以卸载，然后删除相关的文件，修复注册表就ok了

录了个路径规则的简单视频，按照视频设置完重启，再来删那些看看。

附件: 软件限制策略简单使用.rar (2008-10-1 10:49:43, 702.48 K)
该附件被下载次数 118

http://bbs.ikaka.com/showtopic-8536393.aspx 到此下载文件暴力删除器（附操作说明），配合使用。

昨日和妈妈逛街去了，晚上妈妈做的一桌美食也让俺吃光了，好好哇！俺提议各位哥哥、姐姐都出去玩一玩，还要多和老爸、老妈、家人待在一起，好好的过一个国庆节，真心的祝愿你们的节日过的精彩！
    aaccbbdd姐：文件夹确实删除了，设备管理器里的隐藏设备的可疑的项目也已处理啦，但嫩说的第二套方案是什么呀？告诉俺好不啦！   
  卡拉扬哥哥（或姐姐）（音乐家？好像是啦小提琴的吧）：谢谢嫩，俺又学了一招，嘻嘻，也许以后咱们的经验高人也用的着呢？
  海上涛头雪哥哥：嫩的思路独辟蹊径呀，俺以前就知道装个打印机鼓捣个驱动，这回知道非即插即用驱动里有好东东了，多谢了！
  叶陵君哥哥：认真，真认真，怕俺不会还给俺一个视频，嫩真是太好了，赞一个！俺顺便看了看嫩桌面上的图标，分析了一下嫩的兴趣爱好，嘻嘻，有没有什么好玩的呀？对了那个世界之窗是干嘛用的呀？
  对了，再给热心帮忙的大哥哥和大姐姐们汇报俺的电脑状况：经过几番查杀、删除、卸载，目前用瑞星、360、嫩们给的软件再没查出毒来，那几个文件也确实删除了，主页似乎也不自动修改了。但IE7.0还有点问题，一打开浏览器就出现自定义您的设置页面http://runonce.msn.com/runonce3.aspx，但是这个页面下边显示网页上有错误，没法保存设置，现在一打开浏览器就打开这个页面。用嫩们给的软件也没修复IE，俺也不愿意重装，俺用组策略里修改成直接跳转主页了，貌似问题解决了。（诸位这样没有什么隐患吧）
  嗯，目前就这样了，还有什么想不起来了，有问题再给嫩们汇报吧。病毒整得俺好害怕，好多东东好几天都不敢用了，今天能用么？
                              再祝大哥哥 大姐姐  节日快乐！

对了，俺以前装过AVG，好像是瑞典的杀木马软件。这个软件有用吗，挺占内存，好像效果也不怎地。

是不错的反木马软件
个人基础版免费

pro版和互联网安全套装收费
如和瑞星同时安装
请关闭AVG的实时监控功能


IE没试试黄山IE修复专家？

aaccbbdd姐姐：
  嫩在线呀，俺把嫩发表的帖子看了一遍，学了不少哦。嫩是专业帮人排忧解难的么？嫩也很认真，每次说话都定位楼层，准确而有效率，俺向嫩学习了。
  俺15F 帖子还有个问题，俺小心翼翼的再问一下：嫩说的第二套方案是什么呀？告诉俺好吗？
  黄山IE修复专家俺找到的都是收费的呀（从天空等网站下了，一次都用不成），俺红着小脸告诉嫩，俺除了瑞星是正版的，其他都是D版本的。

超级兔子免费

IE7可卸载，重装下（去微软官方去下载）

方案？刚刚我发表的那帖子里

“方案？刚刚我发表的那帖子里”？？:default1:  方案二是：试试黄山IE修复专家么？
  姐姐，超级兔子也没修好，俺觉得俺下载的东东可能不大可靠吧。:default2: 俺想卸IE重装来着，但卸载时提示“你安装的某某某软件基于IE7.0，如卸载可能。。。。错误”，具体提示记不清了，大体就这意思。俺工作很忙，最近两天被电脑折磨的害怕了，不敢轻易动它了，所以就选择了偷懒（没修也没卸，反正除了15F 的那个问题，其他一切正常可用哦）。:default3: 姐姐，俺的电脑是不是应该是安全的了？安全了，俺就按照你的要求把标题改为已解决罗。
  姐姐，你那儿招人不？收俺做个徒弟吧:default5: 有这可能么:default8:

卸载有提示？
你去系统区发个图
JPG的
说明下IE7情况

师父？不敢当:default3: :default3:

已经正常啦
起始页面 你保存一下即可

若还是不行
可以使用瑞星注册表修复工具 扫描并修复下。

附件: RegClean.rar (2008-10-1 10:53:56, 179.76 K)
该附件被下载次数 112

姐姐，咋不敢当呢？嫩就是俺的师傅哇，敢当、敢当:default6: :default6:
姐姐，再红着小脸和嫩说一哈：俺刚才又用系统自带的卸载功能试着卸载IE7.0，好像又没有提示了？（原来好像、似乎有的呀，是不是这两天被折磨的精神恍惚了，疑惑中。。。。）俺就试了一哈，没有真卸，姐呀俺这两天想偷个懒哦:default3: ，如果不影响安全问题，咱先暂时不理他好不好？俺记得卸载IE很容易卸不干净，再装又有什么冲突了咋办呀，呀呀呀休息两天再整吧，好吗？
姐姐，收俺当徒弟吧，以后有啥问题好找嫩呀:default6: :default6: :default6:

叶陵君哥哥，嫩好哈，总给俺好东东，俺都不好意思了:default6:
还有什么好东东，比如世界之窗之类的，啊嗯哦:default5:
总之，多谢哥哥了，知道嫩是个认真的好好的大哥哥，以后有问题也要找嫩了（嘻嘻，赖上了:default5: ）
俺先去看看嫩给的东东咋用:default7:

这小妹妹忒可爱的，几岁啦？:default13:

问题已解决，多谢诸位哥哥、姐姐！俺把标题改了。