瑞星卡卡安全论坛

每次杀毒都跳出的界面病毒名称:RootKit.Win32.Undef.ov路径是:C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\2097.exe>>$[32]\05.sys然后清除或删除文件,可是每次再杀这毒都还在,到历史记录里病毒名称又变成了AdWare.Win32.Cheat.fp,路径在C:\PROGRAM FILES\RHCLH8J0E939\RHCLH8J0E939.EXE!到网上查了,特意下载了Windows木马清道夫,可是没有用,谁能帮忙啊,急!

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; AntivirXP08)

下载windows清理助手，用它清理一下。

如果还有问题
下载SREng
下载之后解压缩，运行SREngLdr.EXE；（如果不能运行，可以尝试改名为123.com）
点击“智能扫描”，勾选所有扫描项，勾选“检查进程模块的数字签名”；
然后点击“扫描”；
等待扫描完成，点击“保存报告”；
将保存的日志文件SREnglog.log作为附件上传到论坛；

你的第一个清理助手就是我下载的那个吧!!

windows清理助手跟木马清道夫没关系，是两种不同的软件
就算用它不行，不还有第二个呢吗........

第一个没杀出毒来,第二个修改了我的注册表,而且超慢啊~

扫描的时候是有点慢，扫完了把日志传上来

好象没看见病毒

附件: SREngLOG.log

Antivirus XP 2008是防火墙吗??这东东说我有20多个有危险入口,可是要下载补丁的话都要注册号,唉,这东西到哪里找啊?为什么瑞星和360都没有说我有漏洞呢?

下载下列工具：
windows清理助手
XDelBox
清理临时文件工具ATF Cleaner
———————————————————————————————————————
开始操作之前，先把网络断开；
———————————————————————————————————————
使用“XDelBox”删除以下文件：
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\program files\rhclh8j0e939\rhclh8j0e939.exe
c:\windows\system32\gmugql.dll
c:\windows\soni.exe
c:\windows\system32\blphcgh8j0e939.scr
c:\windows\avtapit.dll
c:\windows\system32\ias.dll
c:\windows\system32\drivers\zydwo.sys
c:\windows\system32\drivers\tgvkg.sys
c:\windows\system32\drivers\nujld.sys
c:\windows\system32\drivers\dnsww.syss
c:\windows\system32\drivers\cdnprot.sys
c:\program files\microsoft office\system\apcdli.sys
c:\windows\system32\drivers\acgum.sys
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，将以下项删除：
[RavMonS]    <C:\WINDOWS\soni.exe>
[SCRNSAVE.EXE]    <C:\WINDOWS\system32\blphcgh8j0e939.scr>
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【Win32服务应用程序】，将以下项删除：
[WbWin / WbWin]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\avtapit.dll>
[Ias / Ias]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\ias.dll>
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[zydwo / zydwo]    <\SystemRoot\system32\drivers\zydwo.sys>
[tgvkg / tgvkg]    <\SystemRoot\system32\drivers\tgvkg.sys>
[nujl / nujld]    <\SystemRoot\system32\drivers\nujld.sys>
[dnsw / dnsww]    <\SystemRoot\system32\drivers\dnsww.syss>
[cdnprot / cdnprot]    <\SystemRoot\system32\drivers\cdnprot.sys>
[Apcdli / Apcdli]    <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys>
[acgum / acgum]    <\SystemRoot\system32\drivers\acgum.sys>
———————————————————————————————————————
打开SREng，选择【系统修复】-【Winsock供应者】，点击【重置所有内容为默认值】；
———————————————————————————————————————
使用“清理临时文件工具ATF Cleaner”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
使用“Windows清理助手”清理一下；

问题项目如下：
=================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavMonS><C:\WINDOWS\soni.exe>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\aetsprov]
    <N/A><C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\aetsprov.dll>  [File is missing]
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\system32\blphcgh8j0e939.scr>  [File is missing]
==================================
服务
[Ias / Ias][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\ias.dll><N/A>
[WbWin / WbWin][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\avtapit.dll><N/A>
==================================
驱动程序
[acgum / acgum][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\acgum.sys><N/A>
[Apcdli / Apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
[cdnprot / cdnprot][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\cdnprot.sys><N/A>
[dnsw / dnsww][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\dnsww.syss><N/A>
[nujl / nujld][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\nujld.sys><N/A>
[tgvkg / tgvkg][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\tgvkg.sys><N/A>
[zydwo / zydwo][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\zydwo.sys><N/A>
==================================
浏览器加载项
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, N/A>
[CdnForIE Class]
  {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, N/A>
[网站排名工具条]
  {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} <C:\Program Files\zzToolBar\ToolBand.dll, N/A>
[网站排名工具条]
  {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} <C:\Program Files\zzToolBar\ToolBand.dll, N/A>
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, N/A>
[CdnForIE Class]
  {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, N/A>
[Music]
  {68F25C63-E798-4255-89CE-243AA3757638} <C:\Program Files\Yiqilai\tools\music.dll, N/A>
==================================
正在运行的进程
C:\Program Files\rhclh8j0e939\rhclh8j0e939.exe
C:\WINDOWS\system32\gmugql.dll
==================================
Winsock 提供者
Adobe Windows Driver over [MSAFD Tcpip [TCP/IP]]
    C:\WINDOWS\system32\gmugql.dll(, N/A)
Adobe Windows Driver
    C:\WINDOWS\system32\gmugql.dll(, N/A)
==================================

如果C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\这个目录下还有EXE文件的话，在第一步删除文件时将其添加入病毒文件列表中一起干掉……

SREng是什么啊?在哪里?

下载完名字都差不多,压缩文件好难找!现在都删除了,360提示有三个漏洞,等补完,我再用瑞星查一下，看还有没有,唉,东东下载太多经常关机都没反应了

还有RootKit.Win32.Undef.ov!!!!!

是我不好,原来经常有2个病毒是反复都杀不掉的!
一个是AdWare.Win32.Cheat.fp
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\2097.exe>>$[32]\05.sys

另外一个是Trojan.Win32.Undef.spg

如果按前面的顺序再删一遍可以吗??

我从这个文件夹就开始找不到了:default2: Application Data\Microsoft\Dr Watson\2097.exe>>$[32]\05.sys

用解压工具WinRAR依路径打开找那文件删除

我再传一遍吧,现在应该比原来少几个,请高手指点

附件: SREngLOG.log

2097.EXE是应用程序,下面还有dretsn32.log，和user.dmp，应用程序我打不开，找不到，是删除user.dmp吗？

我看不懂你说的什么

你细说说

什么什么看不到

我糊涂了

就用解压工具WinRAR打开相应文件夹

删除
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\2097.exe

这还和其他的什么东西有关系吗？？？

你如果在WinRAR中找不到2097.exe

那么杀毒软件又怎么杀出这文件的呢？

我把整个Dr Watson都从解压缩里删除可以吗?会影响系统吗?

你就只删2097.exe不行吗？？？

在\Dr Watson\下有3个东东
2097.EXE
dretsn32.log
user.dmp，
2097.EXE应用程序我打不开，找不到下面的程序，是删除user.dmp吗？还是连整个Dr Watson都删除?现在我删除了2097.EXE,怕还有那个毒呀

算了，受不了你了，我没要你去解压，没要你去打开，只是要你在WinRAR的打开 的窗口内，点选那文件，右键菜单里选择“删除”那文件呀。
你不会以为WinRAR除了用于解压缩，就没其他用了吧？？？

唉..........................

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

删除：
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\2097.exe

其他东西不要反复问了

删除2097.exe 文件后，杀毒软件全盘杀毒

没毒就行了

不要到处看文件玩，系统里你不懂的文件成千上万，不能一个一个问的

提示毒的，就删，没提示毒的，就不要管它了

哦~~~~~~~~~好委屈呀!本来想着找不到最小的那个文件就删除最大的文件不就很保险吗?!WinRAR解压缩功能从没想过还有其他用法的,我真是笨呀~~~~不过那个东东没了,其它几个还来不及删,只要都删完再下载那个什么木马,再点选“抑制文件再生”是吧?

看来又要被你骂了,我删了之后再去下载那个费尔木马强力清除助手,也没用上"抑制文件再生",:default11: 不过如果以后有木马的话我都这样去用,应该可以吧???

重启扫描新日志看看