瑞星卡卡安全论坛

确认是中木马了  而且还杀不掉
在安全模式下面用清理专家  360木马专杀都不行，杀毒软件打不开
上传我的log 请大家帮帮我
还有我用清理助手杀不掉的木马记录



已上传，请版主看下， 注册表里 appInit_DLLS 那个键值已修改，但是镜像劫持 的文件 用清除工具杀后还有。  vcript32.dll 文件 我里边没有。

附件: 新建 文本文档 (3).txt

附件: Result1.txt

附件: winsysdwn.rar

可能中招了？去反病毒版块求助去吧

使用System Repair Engineer扫描日志，将日志作为附件上传到反病毒/反流氓软件论坛上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

是不是提示你说，Windows保护文件被替换？
如果是，那么这样你可以放心！这个是盗版系统破解的，以便美化桌面！
如果不是，那么可能中毒，请你用Windows清理助手看看是哪个文件被替换了？

清理助手说我的  appInit_DLLS 默认参数被替换

C:\WINDOWS\system32\winsysdwn.dll文件复制并压缩后发来看，不认识它。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><acdess.dll,xsisco.dll kandawf.dll>  [N/A]

就是将 <AppInit_DLLs> 的“值”项编辑置空

————————————————————————————————————————
运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=429561

—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

记得打打系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

dll 文件怎么发？
贴到 txt里边么》

日志中异常项目如下：
=============================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><acdess.dll,xsisco.dll kandawf.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
      <IFEO[360safe.exe]><svchost.exe>
………………(此处省略一堆病毒添加的IFEO项)……
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.exe]
        <IFEO[_AVPM.exe]><svchost.exe> 

服务
[Security Control / seiuctol][Stopped/Auto Start]
  <c:\windows\system32\rundll32.exe vcript32.dll,test><Microsoft Corporation>
[Task Scheduler / Schedule][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%systemroot%\system32\winsysdwn.dll><N/A>
[System Restore Service / srservice][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%systemroot%\system32\winsysdwn.dll><N/A>
[Windows Image Acquisition (WIA) / stisvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%systemroot%\system32\winsysdwn.dll><N/A>
[System Audio / System Audio][Stopped/Auto Start]
  <C:\Program Files\Outlook Express\audio.exe><Twain Working Group>

驱动程序
[epfwtdir / epfwtdir][Stopped/System Start]
  <system32\DRIVERS\epfwtdir.sys><N/A>
[NsReSDev1 / NsReSDev1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
=================================
蓝色项目不认识，红色项目原为系统服务，现已被病毒修改，其它个人认为是病毒添加的……
PS：个人认为该病毒修改和伪装了多个系统服务注册表项，麻烦……:default21:

是挺多的
而且我按版主的方法
每次清理 他又回写  郁闷的要死
AppInit_DLLs  编辑了好几次 每次都是 病毒再后边又加了dll文件

建议把c:\windows\system32\vcript32.dll这个文件连同版主说的那个文件一并打包上传……:default29:

已上传，请版主看下， 注册表里 appInit_DLLS 那个键值已修改，但是镜像劫持 的文件 用清除工具杀后还有。  vcript32.dll 文件 我里边没有

你上传的附件，瑞星最新版可杀：
文件信息

文件名称 :	winsysdwn.rar
文件大小 :	11606 byte
文件类型 :	RAR archive data, v1d, os
MD5 :	f86b1adc258909aff2c36467eba223e4
SHA1 :	2748cb3c52775ef67fb8aaabae947a604ba79988

扫描结果

扫描结果 :	41%的杀软(16/39)报告发现病毒
时间 :	2008/11/17 20:21:54 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	4.0.0.26	20081117170304	2008-11-17	-	4.373
AntiVir	7.9.0.31	7.1.0.93	2008-11-17	-	1.729
Arcavir	1.0.5	200811161554	2008-11-16	Heur.RoundKick	1.249
Authentium	5.1.1	200811170122	2008-11-17	W32/Heuristic-KPP!Eldorado (Heuristic)	1.057
AVAST!	3.0.1	081116-1	2008-11-16	Win32:Warezov-MF [Wrm]	0.005
AVG	7.5.52.442	270.9.4/1794	2008-11-17	-	1.767
BitDefender	7.81008.2200016	7.21910	2008-11-17	Generic.Malware.P!dldPk!g.16EAEA49	2.049
CA (VET)	9.0.0.143	31.6.6210	2008-11-14	-	6.646
ClamAV	0.94.1	8642	2008-11-17	-	0.014
Comodo	2.11	2.0.0.708	2008-11-16	-	0.443
CP Secure	1.1.0.715	2008.11.14	2008-11-14	-	6.390
Dr.Web	4.44.0.9170	2008.11.17	2008-11-17	DLOADER.Trojan	3.521
ewido	4.0.0.2	2008.11.16	2008-11-16	-	3.220
F-Prot	4.4.4.56	20081116	2008-11-16	Possible W32/Heuristic-KPP!Eldorado (not disinfectable)	1.062
F-Secure	5.51.6100	2008.11.17.04	2008-11-17	Trojan-Downloader.Win32.Agent.apby [AVP]	0.042
GData	19.1551/19.110	20081117	2008-11-17	Trojan-Downloader.Win32.Agent.apby [Engine:A]	2.716
Ikarus	T3.1.01.45	2008.11.17.71870	2008-11-17	-	3.428
Microsoft	1.4104	2008.11.17	2008-11-17	Trojan:Win32/AgentBypass.gen!I	4.258
mks_vir	2.01	2008.11.17	2008-11-17	-	2.721
Norman	5.93.01	5.93.00	2008-11-14	-	5.103
nProtect	2008-11-17.01	2542707	2008-11-17	Generic.Malware.P!dldPk!g.16EAEA49	3.345
Quick Heal	10.00	2008.11.15	2008-11-15	-	1.853
Sophos	2.80.0	4.35	2008-11-17	Mal/Dropper-P	2.059
Sunbelt	4474	4474	2008-11-04	-	0.617
The Hacker	6.3.1.1	v00155	2008-11-15	-	0.513
VBA32	3.12.8.9	20081116.1932	2008-11-16	-	1.436
ViRobot	20081117	2008.11.17	2008-11-17	Trojan.Win32.Downloader.23552.CY	0.399
VirusBuster	4.5.11.10	10.93.4/671777	2008-11-16	-	0.873
卡巴斯基	5.5.10	2008.11.17	2008-11-17	Trojan-Downloader.Win32.Agent.apby	0.032
安博士V3	2008.11.17.03	2008.11.17	2008-11-17	-	1.094
安天	2.0.18	20081115.1573913	2008-11-15	-	0.119
江民杀毒	11.0.706	2008.11.17	2008-11-17	TrojanDownloader.Agent.atsg	1.342
熊猫卫士	9.05.01	2008.11.16	2008-11-16	-	4.639
瑞星	20.0	21.04.02.00	2008-11-17	Trojan.DL.Win32.Mnless.bpb	0.871
赛门铁克	1.3.0.24	20081116.003	2008-11-16	-	0.047
趋势科技	8.700-1004	5.656.04	2008-11-17	-	0.027
迈克菲	5.3.00	5436	2008-11-16	-	2.496
金山毒霸	2008.9.8.18	2008.11.13.23	2008-11-13	-	0.687
飞塔	2.81-3.117	9.714	2008-11-15	Suspicious	0.274

注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断

恩  我的杀毒软件打不开。

把瑞星安装目录中的RAV.EXE重命名为abc.exe ，运行一下……