瑞星卡卡安全论坛

先要感谢　天云　小狮子　豪斯登堡新郎　给我提供的帮助！

这是我这两天的一个　求助帖子　：http://bbs.ikaka.com/showtopic-8564175-3.aspx　

我的情况是这样，我昨天晚上回来后按照上贴中　小狮子　的方法准备处理了


1.替换userinit.exe。 在dllcache和system32文件夹内找到userinit.exe拷
贝正常的文件粘贴到各自文件夹（dllcache里的userinit.exe先替换)

2.替换rpcss.dll。　先重命名为1.dll，然后依次使用“修复RPC.BAT”和
“RPC修复.reg”（不重命名的话，使用修复RPC.BAT会出现上面一个是0下面一个
是１的情况，有程序占用） 重命名和替换后都会出现　系统提示　是否使用未识别版本的
文件，我都选“是”，也只能选“是”。

3.准备使用XD删除文件了，但是XD1.7 XD1.8均出现不同问题造成不能使用
　　（ＸＤ的情况在上贴21楼 24楼有）
然后我使用SmtDel，DOS模式删除了列表中的文件。

4.使用SREng修复，删除驱动，注册表之类。我当时比较在意的是下图中的两项还
是存在，我看到里面有指向rpcss.dll，我怕有问题，所以再次按照步骤2中替换
和导入注册了一次rpcss.dll。



5.系统杀毒软件都已经正常开启，我开始全盘杀毒。C盘杀出很多，DE没有。
全盘结束后。使用 金山清理专家 windows清理助手 卡卡 都过了一遍，发现一些
残余并清楚掉了。我再打开SREng看了基本没问题就是上面那图里面的两个红项依
然存在。
---------以上都是断网操作-----------

在这样的情况下，我以为已经完全清理干净了，上网看网页都没问题。
问题出现了：我准备上QQ了，重新官方下载了安装文件，安装后在要登陆时，把
鼠标点到密码栏准备输入的那一刻。瑞星，卡卡瞬间被秒掉了。。。:kaka4:
我立刻断网，下面的 当时 的 SREng 部分截图






然后自己摸索了下日志，用SmtDel删除了些可疑文件，可能是勿删了一个造成不
能上网，只能用一键还原精灵了（２天前的系统）。

－－－－－－－－－－－－－－－－－－－－－－－－－－
目前的系统杀软能开。环境还不算十分恶劣 - -！:kaka3:

下面是刚才SREng扫描中的一些情况





这次ＷＩＮ３２服务和昨天　不同了了



下面是我现在的日志。。。哪位能帮我根治啊，到底是哪里有纰漏呢？我觉得很
全面了。  下午出门了，谢谢大家了！:kaka4: :kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

:kaka4: 两次　都是在安装ＱＱ或者登陆时候　病毒复发的．

会不会病毒随时变名字啊？－　－我快草木皆兵了

[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcrypt.sys><N/A>
[npkcusb / npkcusb][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcusb.sys><N/A>

我盘里没有E:\Tencent 2006\　这个文件夹啊

[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>

这个是不是病毒？

没病毒
楼主

用卡卡打全系统补丁

http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描
清理雅虎助手

:kaka3: 小狮子　我昨天差不多也是这样的　但是一运行ＱＱ就挂了～～我有阴影了．．．．

卸载QQ
OR粉碎QQ文件夹

重装QQ

打全系统补丁
切记

请将运行就出异常的那个QQ目录内的QQ.exe文件压缩发来

还有查看全部磁盘内是否有

QQ.exe
cheak_hook.dll
autorun.inf
SpiderNt.exe
rundll32.exe

这几个文件，有就压缩发来

前几天我也弄了这么个病毒，打开QQ就马上复发，奇怪的  有让我重新杀完毒后，整个QQ文件夹全粉碎了重新装过就好了，  是QQ里的什么文件被感染了的吗？

已经看到新木马群有大规模替换QQ主程序的可能性

仔细观察了下　关于ＱＱ的异常　

我粉碎了原ＱＱ文件夹　然后重新下载了ＱＱ安装文件

打开后发现了明显的问题　见下图


然后我关闭了　以下两个服务

[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcrypt.sys><N/A>
[npkcusb / npkcusb][Stopped/Auto Start]
  <\??\E:\Tencent 2006\npkcusb.sys><N/A>

重启后继续点刚才那个安装文件，依然显示是默认安装到E:\Tencent 2006\　然后我修改了路径
安装的过程中出现了一些异常现象

瑞星防火墙提示　通过了程序的数字签名并允许访问网络
这个程序是　d:\c878f3b094bfb3a34c\install.exe

我Ｄ盘中根本没这个东西的．

现在我想开了这个ＱＱ多数又要挂了．．．．

没有发现

cheak_hook.dll
autorun.inf
SpiderNt.exe
rundll32.exe

这些文件啊　　　:kaka4:

新日志看看

楼主进入注册表编辑器
查找：Tencent
QQ
将结果全部删除

我刚才把新装的ＱＱ卸栽　我用ＱＱ自己的那个卸载程序

启动后　只能卸载一个　文件－－－－－卸载程序本身

我在使用ＳＥＲＮＧ过程中　出现一个提示　访问提示

详细内容2008-11-09 11:32:40, 删除访问规则：c:\documents and settings\user\local settings\temp\sre3.exe

:kaka4: :kaka4: 　　　　现在的日志　

真看不出有什么问题啊

另外还有


详细内容2008-11-09 11:32:44, 删除访问规则：c:\windows\system32\macromed\download\download.exe

附件: SREngLOG.log

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>
这个在正确的
自己改下

改不成啊～～用ＳＥＲＮＧ也不行

在安全模式里　修改了　:default2: