瑞星卡卡安全论坛

杀毒很多次,杀完以后还是有!安全模式下杀也一样!
  有时瑞星还无法打开!而且有弹出网页和自动关闭应用程序的现象!
  还伴随有其他的症状!望尽快解决!~~~

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; CIBA)

附件: SREngLOG.log

你只有用XDELBOX工具删除下面文件了：

XDELBOX工具下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806

按照内附使用说明图操作，复制粘贴下面文件操作删除：

C:\WINDOWS\system32\nap32.dll
c:\windows\system32\wins\fkvqoyrey.dll
C:\WINDOWS\system32\Com\ie.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SvcDE.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQDownload.exe
C:\Program Files\orz.exe
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\nap32.exe
C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe
C:\WINDOWS\system32\test3.exe
C:\WINDOWS\system32\drivers\ADProt.sys
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\d7b49fa.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\TEMP\~xxx44.tmp
C:\Program Files\Internet Explorer\53u1ttMe.2ys

重启电脑自动运行完毕进入系统后，再立即继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <QQ Update><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQDownload.exe>  [File is missing]
    <avpx><C:\Program Files\orz.exe>  [File is missing]
    <HBService32><System.exe>  [N/A]
    <ms08_067_patch><"C:\WINDOWS\system32\nap32.exe" /run>  [Beijing Rising Information Technology Co., Ltd.]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[BoBoTurbo / BoBoTurbo][Running/Auto Start]
  <C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe><广州易播信息科技有限公司>

[dasd1s2d2 / dd3133sdd2][Stopped/Manual Start]
  <C:\WINDOWS\system32\test3.exe -r><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[ADProt / ADProt][Stopped/System Start]
  <\SystemRoot\system32\drivers\ADProt.sys><N/A>

[aliimz / aliimz][Stopped/Manual Start]
  <System32\Drivers\aliimz.sys><N/A>

[d7b49fa / d7b49fa][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\d7b49fa.sys><N/A>

[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>

[~xxx44 / ~xxx44][Stopped/Manual Start]
  <\??\C:\WINDOWS\TEMP\~xxx44.tmp><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {F6A454AE-156A-415E-9F89-3795677A8A91} <C:\Program Files\Internet Explorer\53u1ttMe.2ys, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

记得打打系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

:default2: 这么多步骤都要弄?对我来说有点太复杂了!

那是你没去做

做了后你就知道很简单了

:default7: 按照上面的步骤完成以后,症状减轻不少!
不过病毒还是有一些!是要重复上面步骤吗?
还有 XDELBOX工具下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806 这个连接下载的软件不能用好象软件过期了,我自己下了一个新版本!

过期了吗？？

没有吧？？

你从哪方面观察到它过期的呢？？？

细说说

还有如果还有病毒，详细病毒文件名和路径

现在的症状是声卡 网卡 不能显示在工具栏上,但是声音和网络都能正常使用!还有杀毒时仍有少量Trojan.Win32开头的病毒!
    在扫日志的SRENG工具》启动项目》注册表》里面找下面项目
有一个ctfmon.exe文件呈现红色!要怎么处理?:default7:

你快做

做完后再来新日志

别一样一样的问

还有我那个XD怎么个过期？？？情况描述下

上面的问题都是我做完那些步骤后还存在的问题!
那个软件在执行重起后删除那一步时会出现下面的图~~~

图呢？？？

那个软件

呵呵！！

那可能真的过期了

我试试去

:default2: 新的

附件: SREngLOG.log

我晕

测试发现，这死鬼XD工具竟然还检测网络时间

在断网阻止它连接网络的情况下，可以使用

连网状态下，它就检测提示过期

看来得换他那1.8版本了

新的问题又出现了```重新按你的步骤又发现了一些相同的病毒!
还有一些东西会自动弹出来~~~

立即在任务管理器里终止下面进程，并删除期文件，并阻止ctfmon.exe访问网络，否则又一堆毒
==================================
正在运行的进程
[PID: 1824 / Administrator][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SvcDE.tmp]  [N/A, ]

去找相同系统的ctfmon.exe文件。
先复制到C:\WINDOWS\system32\dllcache文件夹里替换。
再复制到C:\WINDOWS\system32文件夹里替换。

或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束ctfmon.exe进程。没进程就直接替换。

:default2:
正在运行的进程
[PID: 1824 / Administrator][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SvcDE.tmp]  [N/A, ] 这个在哪里看!我在任务管理器的进程里未找到~~~
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SvcDE.tmp这个文件找不到要怎么删除?
还有怎么并阻止ctfmon.exe访问网络?

C:\WINDOWS\system32\dllcache文件夹
这个文件夹没有找到?

用类似方法操作替换

以及在那两工具里都可以看到那个病毒进程

http://bbs.ikaka.com/showtopic-8561436.aspx

我按照你的步骤
将SvcDE.tmp和ctfmon.exe先在进程中关闭,然后搜索到
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SvcDE.tmp文件,把它删了!
然后用http://bbs.ikaka.com/showtopic-8417665.aspx
下载的ctfmon.exe文件,用你说的第一种压缩解压的方法替换掉
C:\WINDOWS\system32\dllcache
C:\WINDOWS\system32里的文件,

然后重新启动电脑,但是一连网又弹出了我在15楼发的那两个对话筐

:default9: 是不是还有其他问题?

那你还是没能操作完全

再来当那提示出现时的SRENG日志

最新的~~~

附件: SREngLOG.log

这两个不知道是什么，自己看看去，不用就删了吧
计划任务
[已启用] 查看 Windows Live Toolbar 更新.job
        C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
[已启用] AppleSoftwareUpdate.job
        C:\Program Files\Apple Software Update\SoftwareUpdate.exe
——————————————————————————————————————————————
从日志下面项来看，似乎还是没能替换完全
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [Microsoft Corporation]

你试试去打开注册表，搜索  jiocs.dll  试试，能搜索到的都删除

其他我帮不了你了

注册表中查到 jiocs.dll  这个文件,这个文件下面还有
sysmgr.dll
<随机名>.bat
这两个文件!这两个之前在哪里看到过说是木马群病毒~~~
3个都删了!
现在基本正常了!准备杀一次毒再看!可能还有潜在的病毒!

全盘杀毒病毒还是那几个老的,病毒杀了重新杀还是有!
感觉还是有风险!估计有什么主要的原因没有找到
再次贴新的,希望有人能帮我再看看!

附件: SREngLOG.log

:default3: 瑞星全盘杀毒在G:\System volume information\'''
\A0228211.ini这个时候不动了!然后就用那个WINDOWS清理助手想删除这个文件,一进这个文件夹WINDOWS清理助手就自动关闭了!
    感觉这个可能就是根源了!不知道有人能告诉我这个怎么看是不是病毒?

G:\System volume information文件夹是系统还原的备份文件夹

建议关闭G盘的系统还原，删除这文件夹

反复杀还有的毒

这贴7楼看，杀毒历史记录导出后压缩发来看看。
http://bbs.ikaka.com/showtopic-8517119.aspx

可能大量病毒被系统还原备份了

记录附上

附件: 杀毒记录.rar

用解压工具WinRAR打开各盘看根目录下还有weiai15.exe吗？？

还有我要的是你现在还反复杀出现的病毒杀毒历史记录

你那全是以前的么