瑞星卡卡安全论坛

先要感谢　天云　小狮子　豪斯登堡新郎　给我提供的帮助！

这是我这两天的一个　求助帖子　：http://bbs.ikaka.com/showtopic-8564175-3.aspx　

我的情况是这样，我昨天晚上回来后按照上贴中　小狮子　的方法准备处理了


1.替换userinit.exe。 在dllcache和system32文件夹内找到userinit.exe拷
贝正常的文件粘贴到各自文件夹（dllcache里的userinit.exe先替换)

2.替换rpcss.dll。　先重命名为1.dll，然后依次使用“修复RPC.BAT”和
“RPC修复.reg”（不重命名的话，使用修复RPC.BAT会出现上面一个是0下面一个
是１的情况，有程序占用） 重命名和替换后都会出现　系统提示　是否使用未识别版本的
文件，我都选“是”，也只能选“是”。

3.准备使用XD删除文件了，但是XD1.7 XD1.8均出现不同问题造成不能使用
　　（ＸＤ的情况在上贴21楼 24楼有）
然后我使用SmtDel，DOS模式删除了列表中的文件。

4.使用SREng修复，删除驱动，注册表之类。我当时比较在意的是下图中的两项还
是存在，我看到里面有指向rpcss.dll，我怕有问题，所以再次按照步骤2中替换
和导入注册了一次rpcss.dll。

 附件: 您所在的用户组无法下载或查看附件


5.系统杀毒软件都已经正常开启，我开始全盘杀毒。C盘杀出很多，DE没有。
全盘结束后。使用 金山清理专家 windows清理助手 卡卡 都过了一遍，发现一些
残余并清楚掉了。我再打开SREng看了基本没问题就是上面那图里面的两个红项依
然存在。
---------以上都是断网操作-----------

在这样的情况下，我以为已经完全清理干净了，上网看网页都没问题。
问题出现了：我准备上QQ了，重新官方下载了安装文件，安装后在要登陆时，把
鼠标点到密码栏准备输入的那一刻。瑞星，卡卡瞬间被秒掉了。。。:kaka4:
我立刻断网，下面的 当时 的 SREng 部分截图

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件



然后自己摸索了下日志，用SmtDel删除了些可疑文件，可能是勿删了一个造成不
能上网，只能用一键还原精灵了（２天前的系统）。

－－－－－－－－－－－－－－－－－－－－－－－－－－
目前的系统杀软能开。环境还不算十分恶劣 - -！:kaka3:

下面是刚才SREng扫描中的一些情况


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

这次ＷＩＮ３２服务和昨天　不同了了

 附件: 您所在的用户组无法下载或查看附件


下面是我现在的日志。。。哪位能帮我根治啊，到底是哪里有纰漏呢？我觉得很
全面了。  下午出门了，谢谢大家了！:kaka4: :kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

:kaka4: 两次　都是在安装ＱＱ或者登陆时候　病毒复发的．

会不会病毒随时变名字啊？－　－我快草木皆兵了

[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcrypt.sys><N/A>
[npkcusb / npkcusb][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcusb.sys><N/A>

我盘里没有E:\Tencent 2006\　这个文件夹啊

[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>

这个是不是病毒？

没病毒
楼主

用卡卡打全系统补丁

http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描
清理雅虎助手

:kaka3: 小狮子　我昨天差不多也是这样的　但是一运行ＱＱ就挂了～～我有阴影了．．．．

卸载QQ
OR粉碎QQ文件夹

重装QQ

打全系统补丁
切记

请将运行就出异常的那个QQ目录内的QQ.exe文件压缩发来

还有查看全部磁盘内是否有

QQ.exe
cheak_hook.dll
autorun.inf
SpiderNt.exe
rundll32.exe

这几个文件，有就压缩发来

前几天我也弄了这么个病毒，打开QQ就马上复发，奇怪的  有让我重新杀完毒后，整个QQ文件夹全粉碎了重新装过就好了，  是QQ里的什么文件被感染了的吗？

已经看到新木马群有大规模替换QQ主程序的可能性

仔细观察了下　关于ＱＱ的异常　

我粉碎了原ＱＱ文件夹　然后重新下载了ＱＱ安装文件

打开后发现了明显的问题　见下图

 附件: 您所在的用户组无法下载或查看附件

然后我关闭了　以下两个服务

[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcrypt.sys><N/A>
[npkcusb / npkcusb][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcusb.sys><N/A>

重启后继续点刚才那个安装文件，依然显示是默认安装到E:\Tencent 2006\　然后我修改了路径
安装的过程中出现了一些异常现象

瑞星防火墙提示　通过了程序的数字签名并允许访问网络
这个程序是　d:\c878f3b094bfb3a34c\install.exe

我Ｄ盘中根本没这个东西的．

现在我想开了这个ＱＱ多数又要挂了．．．．

没有发现

cheak_hook.dll
autorun.inf
SpiderNt.exe
rundll32.exe

这些文件啊　　　:kaka4:

新日志看看

楼主进入注册表编辑器
查找：Tencent
QQ
将结果全部删除

我刚才把新装的ＱＱ卸栽　我用ＱＱ自己的那个卸载程序

启动后　只能卸载一个　文件－－－－－卸载程序本身

我在使用ＳＥＲＮＧ过程中　出现一个提示　访问提示

详细内容2008-11-09 11:32:40, 删除访问规则：c:\documents and settings\user\local settings\temp\sre3.exe

:kaka4: :kaka4: 　　　　现在的日志　

真看不出有什么问题啊

另外还有


详细内容2008-11-09 11:32:44, 删除访问规则：c:\windows\system32\macromed\download\download.exe

附件: SREngLOG.log

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>
这个在正确的
自己改下

 附件: 您所在的用户组无法下载或查看附件


改不成啊～～用ＳＥＲＮＧ也不行

在安全模式里　修改了　:default2: