瑞星卡卡安全论坛

昨晚中毒，情况如下：
1、杀软被禁或被破坏，且无法更新下载，下载其他杀毒工具也被禁

2、部分应用程序点击无效，任务管理器打不开，D、E、F盘打不开
3、每次开机系统时间的年份被改回到2003，月日时对的

4、GENERIC HOST PROCESS曾经报错

5、桌面任务栏小图标颜色加深或轻微重影，整个WINDOWSXP视窗也有些不对劲

6、IE主页被篡改

7、开机瑞星查毒报rootkit.win32.mnless.a病毒，清除

8、查注册表发现很多软件被劫持，且大多数对应的键值为c:\windows\system\svchost.EXE!,使得网上说的修改甚至是直接删除该项的方法不奏效，因为根本没法删，现在干脆无法进入ieof项

9、昨晚开始上网（用TT）查找资料手杀，弄了大半天，删了不少病毒文件，修复不少注册项，终于可以打开盘符和任务管理器，唯有卡卡上网助手把时间改回正确可以更新下载了，但重新扫描没有结果。

10、按照网上的说法，先下载了建立安全环境工具，运行重启，瑞新重组（其中不断组件破坏是否继续安装）杀毒，查毒Win32.Gdata.a但路径指向文件居然是RAV.EXE！瑞星自身的执行文件，且无法清除，发现瑞新的图标不能正常显示！

11、进程里有四个svchost.exe进程，都是GENERIC HOST PROCESS的

哪位能帮在下，谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0; Avant Browser; Chinarank Toolbar)

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

谢谢！
问题诗很多杀软工具被劫持没法扫描使用，甚至是下载都不行，一旦识别有诸如“读duba”字样的就没法下载，甚至是网页都不让打开！

附件1.
改版SRENG
SREng/智能扫描
等扫描完成,保存日志(LOG格式)
附件2
改版金山
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


试试

如不能运行
将主程序改为小狮子.scr

附件: sreng1018修改版.rar

附件: 金-山-诊-断及粉-碎-器.rar

把报告扫上来了

附件: SREngLOG.log

userinit.exe
和Explorer
从
正常的同版本号系统拷文件
替换本机文件

替换后
操作前强烈要求先断网
1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。



c:\windows\delautorun.bat
c:\windows\system32\userinit.exe,
c:\windows\vrkdyofvmdid3002.dll
c:\windows\icpb.dll
c:\windows\system32\drivers\s51l4fhki.sys
c:\windows\system32\ca99d57.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[DelAutorun]    <C:\WINDOWS\DelAutorun.bat>
    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[ZYZFGOZWX / ZZJGWCZON]    <C:\WINDOWS\system32\svchost.exe -k QWWZCONTG-->C:\WINDOWS\VrKdyOfvMdID3002.DLL>
[IPRIP / IPRIP]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\icpb.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[ti6i5xoy0 / ti6i5xoy0i]    <>
[ti6i5xoy0 / ti6i5xoy0i]    <>
[s51l4fhki / s51l4fhki]    <\SystemRoot\system32\drivers\s51l4fhki.sys>
[ca99d57 / ca99d57]    <\??\C:\WINDOWS\system32\ca99d57.sys>

闪人，累死了

太感谢了
但如下不懂

userinit.exe
和Explorer
从
正常的同版本号系统拷文件
替换本机文件

同版本号？

http://bbs.ikaka.com/showtopic-8417665.aspx
2楼附件里

另外，那个USER文件替换后还要删除吗

其他几个文件已手动删除

替换不就只剩下正常文件了

正常文件userinit.exe被删除后
你会体验到登录系统就注销的痛苦。。。。

自己的系统版本号找不到  汗啊

别找了
就那链接2楼
文件就行

谢谢，问题已基本解决，真是大好人啊

顺带问一下，桌面快捷键下的文件名栏填充着蓝色，成了蓝底白字，看起来极不舒服，如何改回来

去掉该项
看图

好像不起作用
我说的是桌面每个快捷方式图标下那个小小的文件名栏被填充了蓝色

使用超级兔子或者优化大师设置一下即可