瑞星卡卡安全论坛

主程序 和 删除文件的数据文件 下载：（程序的详细说明看这贴：点击进入）
------------------------------------------------------------------------------------
首先下载主程序： （感谢开发此程序的作者JayFaye ，我只是做了个简单的导入删除列表的工作。）

     

附件: 主程序.rar (2008-10-19 0:18:19, 836.86 K)
该附件被下载次数 1771

------------------------------------------------------------------------------------
weiai.exe、ww.exe HBXXXX （无替换rpcss.dll版）----推荐版本！（10月16日更新）
先在上面下载主程序，在下载以下的删除列表数据文件，再看下此贴后面该主程序的运行过程，避免误操作。 请断网操作！

附件: weiai ww HBXX 删除（无替换rpcss.dll版）.rar (2008-10-16 16:55:50, 1.41 K)
该附件被下载次数 1808

  (已加入部分已知网马黑名单)
删除完毕后，同样可能需要按照下面的恢复rpcss.dll
请使用杀毒软件和windows清理助手对系统进行清理，并用SREng扫描上传一份日志，查杀残余项。
-------------------------------------------------------------------------------------
weiai.exe、ww.exe、HBXXXX（替换rpcss.dll版）（10月16日更新）
先在上面下载主程序，在下载以下的删除列表数据文件，再看下此贴后面该主程序的运行过程，避免误操作。请断网操作！

附件: 删除列表数据文件.rar (2008-10-16 12:03:45, 1.42 K)
该附件被下载次数 1513

      (已加入部分已知网马黑名单)
    （删除完毕后会造成第一次无法上网，请下载完本帖修复rpcss.dll压缩包）
注意：已确定weiai.exe和ww.exe会替换rpcss.dll，并且还能上网，协同HBXXX作战，若有遗漏，在不断网的情况下，短时间内可以复活大多数。所以下载完毕后，请一定断网操作，修复完rpcss.dll后（请别急着联网），在扫描一篇日志，从其他电脑上传到论坛，在杀下残余就可以了。

此版会删除 c:\windows\system32 和c:\windows\system32\dllcache 下的rpcss.dll

重启后，第一次开机将会很慢，请耐心等待。修复后，以后都正常了。

下载下面的rpcss.dll修复解压包，解压到同一目录下。

附件: rpcss修复.rar (2008-10-13 14:56:11, 130.97 K)
该附件被下载次数 1988

  （压缩包内的rpcss.dll 适用于XP SP2 和 XP SP3）
先运行里面的批处理文件，再双击导入注册表文件







再次重启计算机，PRC服务恢复正常，复制粘贴，上网均正常
-------------------------------------------------------------------------------------
主程序运行全过程：

一、解压到桌面



二、 点击“开始处理”，再点是重启计算机。



三、选择sntdel for dos



四、如果出现 如下图 y/n  的 选择提示，选 y



dos删除完毕后，会自动再重启 进入 xp 系统。
弹出提示，操作完成！

以上工作做完以后，还要再扫描一份SREng日志， SREng工具  （SREng工具--点击下载：http://download.kztechs.com/files/sreng1205.zip）

供反病毒爱好者分析，因为还有一些随机名的病毒文件没删除干净。

可以同时配合本机杀毒软件进行查杀。    （windows清理助手 --点击下载：http://www.arswp.com/download/arswp2/arswp2.rar）

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA; TheWorld)

谢谢LZ分享这个方法

谢谢楼主 的分享 :default6: :default6:

叶陵君 你用什么监控的病毒～～TINY? 还是SSM

tiny 不会用  跟这个跟丢了
SSM 还是不会用，过两天在学学
昨晚断网，一个人在虚拟机跟它玩 ，一边看wsyscheck 的界面显示 总结的。

看了

很详细

能不能以后直接用帖子的形式发上来 啊？

啊  我试了不行啊  用LZ提供的Wsyscheck工具里面显示不出那2个 内存值为hide的2个svchost进程。。。。  怎么办呢！！！1

很详尽...

我应该去删除它。。。。

遍历进程 尝试终止部分安全软件进程。。

路过~  学习:default6:

不错哦，不知道突然按重启它会不会回写

急死我了，正是我要的

好贴，正需要！

正在找解决办法！希望这个能行！感谢先

这毒还不赖，没把你文件都感染了

我倒有个方法.因为我电脑前天也中了这个毒 现在被我弄好了
很简单的:default5:

我的方法比着更简单多了 只要你电脑没别的病毒 就不需要任何杀毒工具. 有需要可以上Q的朋友可以加我Q Q    270156922

有没更好的免疫方法~

LZ提供的Wsyscheck工具里面显示不出那2个 内存值为hide的2个svchost进程。。。。  怎么办呢！！！我也遇到了同样的情况。

已更新，请下载 刚更新的 杀灭程序清除。

回复 那个hb开头的文件是随机性
考虑周全了嘛

用此版本 ，建议先用系统搜索下 ，你系统有没正常的 以HB开头的文件。
也可以将搜索结果截图提交上来。

若没有正常的，可以用下面的版本，该版比第一楼的多写几条针对HB开头的 动态链接库 。

主要删除 c:\  ， c:\windows  ， c:\windows\system32  这三个目录 下的 以HB开头的 动态链接库

附件: HBXXX加强版.rar (2008-10-10 16:03:16, 837.45 K)
该附件被下载次数 391

一楼说的那个驱动没有被删除的原因应该是当时DOS下并不存在那个驱动文件，否则是绝对可以删除的

以后如果要删除每个分区盘符下的Autorun.inf等文件只需要输入这么一条内容即可：drive\autorun.inf（注意，无冒号）

如果你只输入文件名不输入路径，比如只输入：abc.exe，那么程序会自动删除c:\windows，c:\windows\system，c:\windows\system32这三个目录下的对应文件

晕死，我点错了，555555555

天月

楼上的，你弄个脑袋吧

看了费劲

这老的用户，你还记得密码，可真行。

我们这着几台啦！支持

呵呵，头像已改，之前有的，论坛升级后不见了

另外，DOS下删除需要用户输入Y或N的情况仅在使用了通配符的时候才会出现，其余情况程序自动操作

...还没中过啊。。

谢谢JayFaye 大侠指导，已更新 你所提的问题

系统盘不是c盘 有怎么办  系统的复杂性考虑清楚了吗 
搜索的时候应该有优先搜索呀