瑞星卡卡安全论坛

系统安装了瑞星杀毒软件、瑞星防火墙和KaKa助手（都更新到了最新版），前天，下载了一个软件，运行改软件后，该软件自动删除，每次系统重启后都会出现瑞星主动防御的提示：发现程序注册表访问违规（程序：c:\windows\explore.exe，注册表：HKEY_LOCAKL-_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ RUN)。
然后每次打开IE浏览器时每隔一会时间就会弹出广告页面（如图所示），采用瑞星杀毒软件和KaKa助手扫描系统，显示没有病毒。请问怎么解决该问题？谢谢！
         

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

谢谢，扫描日志文件—新建文本文档.txt见附件，问题现象具体如下：

（1）开机启动过程结束后不久，出现“瑞星主动防御的提示”，点击“拒绝”；
（2）打开IE时，就弹出上面的广告栏，无论点击“cancel“与否，很快就会弹出新的IE窗口，并自动连接到不同的广告页面，然后每隔一会时间（没有规律）就会弹出新的IE窗口，并自动连接到不同的广告页面。
（3）用瑞星杀毒软件和KaKa助手扫描系统，显示没有发现病毒。（当然，我也就无法知道病毒的名称和路径）


再次感谢！盼快复！

附件: New Text Document.txt

networkedition, 这是刚刚关闭弹出的IE非法网页后，用kaka6中的在线诊断扫描的结果（但是用瑞星杀毒软件扫描显示没有病毒），希望这有助于你分析，非常感谢！

这是我关掉所有运行软件，采用Kaka6的扫描结果（但是，用瑞星杀毒软件扫描显示没有病毒）。可是，我按照要求重启机器再用Kaka6的扫描，依然还有，也就是说，Kaka6无法清楚该木马，瑞星杀毒软件根本就检测不到该病毒。

请高手拔刀相助，在线等!

antivirus2009是个骗子软件，不要理睬它。

日志我先看一下……:default7:

问题及可疑项目如下：
===================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SVCH0ST><C:\WINDOWS\system32\SVCH0ST.exe>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{f2b6085b-7a3e-cf83-cf83-8b4f91e436f9}]
    <N/A><C:\WINDOWS\system32\svs\lsass.exe /t>  [File is missing]
===================
驱动程序：
[WINIO / WINIO][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\winio.sys><N/A>
===================
浏览器加载项
[]
  {9dea831c-88c1-4a66-97af-a64fcd946b5e} <C:\WINDOWS\system32\fihefq.dll, N/A>
[]
  {F986E90A-EC59-4B48-A55C-7A9690132BD8} <C:\WINDOWS\system32\ddcBUMCr.dll, N/A>
[]
  {9DEA831C-88C1-4A66-97AF-A64FCD946B5E} <C:\WINDOWS\system32\fihefq.dll, N/A>
==================
正在运行的进程：
C:\WINDOWS\system32\pwdmon.dll
C:\WINDOWS\system32\ddcBUMCr.dll
C:\WINDOWS\system32\qhmryaby.dll
C:\WINDOWS\system32\vgfpjdjt.dll
C:\WINDOWS\system32\fihefq.dll
C:\WINDOWS\system32\akgrbx.dll
==================
计划任务
[Enabled] dmcjjfwf.job
        C:\WINDOWS\system32\rundll32.exe

非常感谢，怎么解决？

手工杀毒有一定风险，请先对C盘做个GHOST备份，以防不测。

完成备份工作后，可以按照我下面说的弄一下：

一、下载XDELBOX1.8这个软件，解压缩；

二、关闭IE，拔掉网线；

三、运行XDELBOX1.8的主程序XDELBOX.EXE，复制以下文件列表，在XDELBOX下方的空白处右键选择“导入剪贴板不检查路径”，然后钩选“抑制再生”，最后在刚粘贴上的文件列表上右键选择“立即重启执行删除”（【注】：以下文件列表中如果有你认识的正常文件，请将其从以下文件列表中排除）：
C:\WINDOWS\system32\pwdmon.dll
C:\WINDOWS\system32\ddcBUMCr.dll
C:\WINDOWS\system32\qhmryaby.dll
C:\WINDOWS\system32\vgfpjdjt.dll
C:\WINDOWS\system32\fihefq.dll
C:\WINDOWS\system32\akgrbx.dll
C:\WINDOWS\system32\winio.sys
C:\windows\tasks\dmcjjfwf.job


四、执行第三步后系统会自动重启电脑并在DOS下杀毒，不需要你做任何操作，静静等待杀毒后系统重启；

五、重新登陆WINDOWS后，进入注册表编辑器，删除如下注册表值项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SVCH0ST>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{f2b6085b-7a3e-cf83-cf83-8b4f91e436f9}]
    <N/A><C:\WINDOWS\system32\svs\lsass.exe /t> 

六、运行SRENG扫描工具，启动项目--服务--驱动程序，删除如下驱动程序：
[WINIO / WINIO][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\winio.sys><N/A>

七、在SRENG扫描工具窗口下，系统修复--浏览器加载项，删除如下浏览器加载项：
[]
  {9dea831c-88c1-4a66-97af-a64fcd946b5e}
[]
  {F986E90A-EC59-4B48-A55C-7A9690132BD8}
[]
  {9DEA831C-88C1-4A66-97AF-A64FCD946B5E}

八、重启电脑；

九、反馈结果。

XDELBOX1.8可下载附件

附件: XDelBox1[1].8剑盟版.rar

谢谢超级游戏迷，这是按照你的步骤操作后所得到的扫描结果，麻烦你再分析一下，看还有没有问题。

附件: New Text Document.txt

1、
[]
  {14D6552B-FC3B-4786-93B0-48B74597F916} <C:\WINDOWS\system32\ddcBUMCr.dll, N/A>
用SRENG扫描工具将以上浏览器加载项删除。

2、
====================
Scheduled Tasks
[Enabled] dmcjjfwf.job
        C:\WINDOWS\system32\rundll32.exe
====================
用SRENG扫描工具将以上计划任务删除。

用SRENG扫描工具删除计划任务的步骤和方法：

太谢谢超级游戏迷，要注意休息，保持最佳健康状况！

下面是我的最新扫描日志文件，麻烦你再检查一下，看看还要不要进一步处理。

附件: New Text Document.txt

请高人检查一下，在线等!

我一直纳闷，我安装了瑞星杀毒软件、瑞星防火墙和KaKa6，每天都更新，怎么还会中毒？

c:\windows\explore.exe????
c:\windows\explorer.exe才是真的