瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 使用Xdelbox1.7时,选择立刻重启删除后,计算机怎么没反应?
woshixiaoluo - 2008-10-1 13:11:00
使用Xdelbox1.7时,选择立刻重启删除后,计算机怎么没反应? 怎么办啊

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log
超级游戏迷 - 2008-10-1 13:19:00
之前导入可疑文件列表了么
byxxdrls - 2008-10-1 13:23:00
把时间往前调一调:default6:
帅哥阿福 - 2008-10-1 13:26:00
C:\WINDOWS\system\llwzjy080929.exe
C:\WINDOWS\system32\wcsiskfv.dll
C:\WINDOWS\system32\8566F82E.dll
C:\WINDOWS\system32\mfqylxfa.dll
C:\WINDOWS\system32\HBmhly.dll
d: e: f:盘根目录下的auto.exe文件
C:\WINDOWS\SYSTEM32\SYSTEM.EXE
C:\WINDOWS\RSHIDE
提交到这里来,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml
使用卡卡助手-高级工具-系统修复-修复hosts文件。
woshixiaoluo - 2008-10-1 13:36:00
已经导入可疑文件列表了 
帅哥阿福是什么意思啊
超级游戏迷 - 2008-10-1 13:37:00
问题项目如下(不代表全部要删除,一些项目需要修改):

==================================
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32><System.exe>  [HB Software]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <dlnjjbdfa><C:\WINDOWS\system\llwzjy080929.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><HBmhly.dll,kmon.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{E560642D-A32D-432c-9E7E-9A135CC37E0F}><C:\WINDOWS\system32\wcsiskfv.dll>  []
    <{8566F82E-03A4-416E-AEAC-66600D8881F1}><8566F82E.dll>  []
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\mjbdocmd.dll>  [File is missing]
    <{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\qahxbaod.dll>  [File is missing]
    <{AF976DCD-754F-4ac2-BE49-951DC7AA57D2}><C:\WINDOWS\system32\dizapdku.dll>  [File is missing]
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\mfqylxfa.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <wcsiskfv.dll><C:\WINDOWS\system32\wcsiskfv.dll>  []
    <mjbdocmd.dll><C:\WINDOWS\system32\mjbdocmd.dll>  [File is missing]
    <qahxbaod.dll><C:\WINDOWS\system32\qahxbaod.dll>  [File is missing]
    <dizapdku.dll><C:\WINDOWS\system32\dizapdku.dll>  [File is missing]
    <mfqylxfa.dll><C:\WINDOWS\system32\mfqylxfa.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.exe]
    <IFEO[AutoRun.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RStray.exe]
    <IFEO[RStray.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
==================================
启动文件夹
[dfjje]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\dfjje.exe -->  [File is missing]><N>
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\RmmptqC.dll><@ Microsoft Corporation. All rights reserved.>
==================================
驱动程序
[d4f876 / d4f876][Running/Manual Start]
  <\??\C:\WINDOWS\system32\d4f876.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
[TKP / TKP][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\154e><N/A>
[Two Rabbits Live Bus / TwoRabts][Stopped/Manual Start]
  <system32\DRIVERS\TwoRabts.sys><N/A>
==================================
浏览器加载项
[]
  {74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[BDHlprObj Class]
  {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} <C:\WINDOWS\DOWNLO~1\BDHelper.dll, >
[快捷工具条3.1.5]
  {BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[]
  {74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[快捷工具条3.1.5]
  {BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[BDHlprObj Class]
  {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} <C:\WINDOWS\DOWNLO~1\BDHelper.dll, >
==================================
正在运行的进程
C:\WINDOWS\system32\System.exe
C:\WINDOWS\DOWNLO~1\BDHelper.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\mfqylxfa.dll
C:\WINDOWS\system32\wcsiskfv.dll
C:\WINDOWS\system32\8566F82E.dll
==================================
Autorun.inf
[D:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe
[E:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe
[F:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe
==================================
特殊特权被允许: SeDebugPrivilege [PID = 2096, C:\WINDOWS\SYSTEM32\SYSTEM.EXE]
超级游戏迷 - 2008-10-1 13:40:00
XD不能运行可能是因为病毒导致(非IFEO类),可以考虑用其他强制删除工具(冰刃、360粉碎工具、费尔等)删除病毒文件。
晕4 - 2008-10-1 13:40:00
挟持了任务管理器。。。
woshixiaoluo - 2008-10-1 13:41:00
哪些需要删,哪些需要修改呢?

附件: SREngLOG.log
晕4 - 2008-10-1 13:42:00
去这帖的16楼下载清除IFEO工具
http://bbs.ikaka.com/showtopic-8442813.aspx
woshixiaoluo - 2008-10-1 13:43:00
高手们,能不能说的详细点。
晕4 - 2008-10-1 13:46:00
进入SReng,重置host文件,详情看这帖。。
http://bbs.ikaka.com/showtopic-8546152.aspx
woshixiaoluo - 2008-10-1 14:01:00
高手们 帮忙看看下面的报告中还有什么问题啊

附件: SREngLOG.log
超级游戏迷 - 2008-10-1 14:13:00
新日志问题少了很多,但仍然有一些可疑内容:
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\RmmptqC.dll><@ Microsoft Corporation. All rights reserved.>
该服务映像文件正常情况下应为C:\WINDOWS\system32\qmgr.dll,但这里是C:\WINDOWS\system32\RmmptqC.dll,怀疑这个服务的<serviceDll>值项被病毒修改,可以通过将[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Parameters]〈serviceDll〉这个注册表值项的数据由C:\WINDOWS\system32\RmmptqC.dll修改为C:\WINDOWS\system32\qmgr.dll实现;
==================================
驱动程序
[d4f876 / d4f876][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\d4f876.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
[TKP / TKP][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\154e><N/A>
以上个人认为是病毒驱动,建议删除。
==================================
浏览器加载项
[]
  {74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[BDHlprObj Class]
  {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} <C:\WINDOWS\DOWNLO~1\BDHelper.dll, >
[快捷工具条3.1.5]
  {BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[]
  {74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[快捷工具条3.1.5]
  {BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[BDHlprObj Class]
  {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} <C:\WINDOWS\DOWNLO~1\BDHelper.dll, >
以上个人认为是病毒+流氓创建的一群浏览器加载项,建议删除。
==================================

推荐用冰刃在设置“禁止进线程”创建的情况下,一次性搞定病毒添加的所有注册表启动项(服务、驱动、浏览器加载项)以及其所对应的恶意文件。
超级游戏迷 - 2008-10-1 14:26:00
所涉及的恶意文件列表:

C:\WINDOWS\system32\RmmptqC.dll
C:\WINDOWS\system32\d4f876.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\DRIVERS\154e
C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys
C:\WINDOWS\system32\IETool.dll
C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDHelper.dll
woshixiaoluo - 2008-10-1 14:39:00
恶意文件列表怎么处理啊
晕4 - 2008-10-1 14:44:00
。。。
照样用XDelBox 1.7删除...
woshixiaoluo - 2008-10-1 15:30:00
高手们,帮忙看一下还有问题吗?

附件: SREngLOG.log
超级游戏迷 - 2008-10-1 15:41:00
服务
[Background Intelligent Transfer Service / BITS][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\RmmptqC.dll><N/A>

就剩它了……:default2:
1
查看完整版本: 使用Xdelbox1.7时,选择立刻重启删除后,计算机怎么没反应?
© 2000 - 2026 Rising Corp. Ltd.