瑞星卡卡安全论坛

中毒，不能上网，没有声音，任务栏不显示窗口，不能复制拷贝，不能移动图标。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

现在那机器不能上网啊，而且没办法复制~~~~~~~清理助手已经用过了，病毒项都清楚了，360已经找不到木马了，瑞星也是，注册表和hbkernel32的相关项都被我删除了，system32下面的乱七八糟的.dll和.exe被删除（中毒时间生成的文件），杀毒软件现在运行全都正常了，一开始是杀毒软件打不开，后来停止进程后能打开但是马上自动关闭，现在都好了，就是出现这个问题：不能上网，网络连接为空，不能复制拷贝，声音也没有，任务栏不显示活动窗口。。。。搞不定阿

我不能上网也没办法上传阿

病毒是system.exe和hbservice.exe

日志必须上传
U盘弄上来

清理助手是否提示系统文件被替换？

如认为无病毒
系统区求助

该用户帖子内容已被屏蔽

我不

病毒是system.exe和hbservice.exe
这不是病毒还在？

hbservice.exe
这个。。。。。。。。。

不行的话
还是重装吧

病毒已经删除了

帮帮忙吧，老大，我也是没办法抓头发阿!!!我以为把系统和注册表里面不干净的搞掉肯定好了，没想到出这问题！！

谁知道干净了没:default3: :default3: :default3:

对了，我的rpcss.dll也没有了，是不是我搞一个进去会好啊？

1必须同版本系统的

2.就能复制和粘贴了

不能上网和任务栏不能显示活动窗口呢？还有，查看隐藏文件不行啊，声音也没，重装驱动没用

该用户帖子内容已被屏蔽

？楼上的，明白点

就是重装系统:default3:

要是重装系统我就不用到这里麻烦达人们了。。。。。。

貌似之前已经有人问了相同的问题。。。解决方案：

杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

1.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html
C:\WINDOWS\system32\wrm32.dll
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\mduaey.dll
C:\WINDOWS\system32\eskisl.dll
C:\WINDOWS\system32\lensch.dll
C:\WINDOWS\system32\micsus.dll
C:\WINDOWS\system32\stepps.dll
C:\WINDOWS\system32\johandy.dll
C:\WINDOWS\system32\jolndyo.dll
C:\WINDOWS\system32\aotoppt.dll
C:\WINDOWS\system32\catower.dll
C:\WINDOWS\system32\wllame.dll
C:\WINDOWS\system32\pewire.dll
C:\WINDOWS\system32\comboaus.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\zsdgff.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\rmqlgvef.dll
C:\WINDOWS\system32\byspfvrb.dll
C:\WINDOWS\system32\vtzlwsqo.dll
C:\WINDOWS\system32\sqregppt.dll
C:\WINDOWS\system32\ouagimgy.dll
C:\WINDOWS\system32\pyahigrl.dll
C:\WINDOWS\system32\ithvzkqx.dll
C:\WINDOWS\system32\jmsdubkb.dll
C:\WINDOWS\system32\wllgiwga.dll
C:\WINDOWS\system32\azffsrby.dll
C:\WINDOWS\system32\qkzbtbph.dll
C:\WINDOWS\system32\umtgmcir.dll
C:\WINDOWS\sysocmgr.dll
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\WINDOWS\system32\drivers\eth8023.sys

启动项目 -->注册表 的如下项删除

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32><System.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><mduaey.dll eskisl.dll lensch.dll micsus.dll stepps.dll johandy.dll jolndyo.dll aotoppt.dll catower.dll wllame.dll pewire.dll comboaus.dll> [N/A] 此项不是删除，是编辑为空。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll> []
    <{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll> []
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> []
    <{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}><C:\WINDOWS\system32\zsdgff.dll> []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> []
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\rmqlgvef.dll> []
    <{65056902-6E7B-4bd7-95BA-688DB5FA5BEB}><C:\WINDOWS\system32\byspfvrb.dll> []
    <{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}><C:\WINDOWS\system32\vtzlwsqo.dll> []
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\sqregppt.dll> []
    <{D1CC9DC6-F0BC-40fc-9552-E497B05E05B8}><C:\WINDOWS\system32\ouagimgy.dll> []
    <{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\pyahigrl.dll> []
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\ithvzkqx.dll> []
    <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\jmsdubkb.dll> []
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\wllgiwga.dll> []
    <{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\azffsrby.dll> []
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qkzbtbph.dll> []
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\umtgmcir.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <sysocmgr><C:\WINDOWS\sysocmgr.dll> [Microsoft Corporation]
    <rmqlgvef.dll><C:\WINDOWS\system32\rmqlgvef.dll> []
    <byspfvrb.dll><C:\WINDOWS\system32\byspfvrb.dll> []
    <vtzlwsqo.dll><C:\WINDOWS\system32\vtzlwsqo.dll> []
    <sqregppt.dll><C:\WINDOWS\system32\sqregppt.dll> []
    <ouagimgy.dll><C:\WINDOWS\system32\ouagimgy.dll> []
    <pyahigrl.dll><C:\WINDOWS\system32\pyahigrl.dll> []
    <ithvzkqx.dll><C:\WINDOWS\system32\ithvzkqx.dll> []
    <jmsdubkb.dll><C:\WINDOWS\system32\jmsdubkb.dll> []
    <wllgiwga.dll><C:\WINDOWS\system32\wllgiwga.dll> []
    <azffsrby.dll><C:\WINDOWS\system32\azffsrby.dll> []
    <qkzbtbph.dll><C:\WINDOWS\system32\qkzbtbph.dll> []
    <umtgmcir.dll><C:\WINDOWS\system32\umtgmcir.dll> []

启动项目 -->服务-->驱动程序的如下项删除
[eth8023 / eth8023][Stopped/Manual Start]
<\SystemRoot\system32\drivers\eth8023.sys><N/A>

[HBKernel32 Driver / HBKernel32][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\HBKernel32.sys><N/A>

杀毒成功后再修复Winsock

Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\wrm32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\wrm32.dll(, N/A)

这些我都弄掉了

主要是木马下载器

所以
一个计算机日志
一个样
不能照搬

不一定。。。可能有某些地方漏掉了~最好把检测报告发上来~要不怎么知道到底弄没弄掉~

该用户帖子内容已被屏蔽

我搞定了！！！把rpcss.dll从正确系统拷贝一个过去，用winrar借压缩就可以了，病毒已经被我手工杀完了:default5: