瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 同样是安铁诺的网站自动弹出,按照前贴文件找不到,求助!
可恶的安铁诺 - 2008-11-30 13:41:00
和前面的那位仁兄的情况一样,老是弹出那个安铁诺系统专家的下载网站,好几天了,快疯了我。
附上我的日志,请版主帮我分析下,最好像刚才那个帖子一样能告诉我病毒文件具体在哪里,我好删除。万分感谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

附件: SREngLOG.log
可恶的安铁诺 - 2008-11-30 13:56:00
555555那咋办那。。
我一直都有用最新病毒库的杀毒软件啊。。
能具体告诉我咋办不?
天月来了 - 2008-11-30 13:57:00
这三文件是什么??愿意的话,也添加到下面删除

C:\WINDOWS\system32\nsvc\nsvc.exe
C:\WINDOWS\system32\DRIVERS\epfwtdir.sys

————————————————————————————————————————
下载EasyDelete工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=459970

依照操作说明图删除下面文件:

删除:
C:\WINDOWS\system32\XC0PY.exe
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\6457aed.sys
C:\WINDOWS\system32\b160485.sys
C:\WINDOWS\system32\drivers\BDGuard.SYS
C:\WINDOWS\system32\d435fd4.sys
C:\WINDOWS\system32\d812a079.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\drivers\yzpqax.sys
C:\WINDOWS\system32\drivers\EASYDOWNS.sys

不论结果怎样,执行完以后,立即按下键盘上的“power”键关机并重启电脑,继续下面操作
————————————————————————————————————————
运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=429561
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <SVCH0ST><C:\WINDOWS\system32\XC0PY.exe>  [SVCH0ST]
    <HBService32><; System.exe>  [N/A]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>  [N/A]
    <{D9C002DD-EA51-43A2-9009-54EAAAF031A4}><D9C002DD.dll>  [N/A]
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>  [N/A]
    <{DFB3DAC5-B0B5-4B05-BFCF-FB42737778FA}><DFB3DAC5.dll>  [N/A]
    <{14F7F80A-0FE7-4A24-83CC-639D42BE410C}><14F7F80A.dll>  [N/A]
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll>  [N/A]
    <{39349BEE-BE43-47E4-8670-8B34570E112D}><39349BEE.dll>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[6457aed / 6457aed][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\6457aed.sys><N/A>

[b160485 / b160485][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\b160485.sys><N/A>

[BdGuard / BdGuard][Running/Boot Start]
  <\SystemRoot\system32\drivers\BDGuard.SYS><>

[d435fd4 / d435fd4][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\d435fd4.sys><N/A>

[d812a079 / d812a079][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\d812a079.sys><N/A>

[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>

[yzpqax / yzpqax][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yzpqax.sys><N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

记得打打系统漏洞补丁

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
可恶的安铁诺 - 2008-11-30 15:39:00
完蛋了,,我按POWER键关机后,现在开不了机了,,,汗。。
按开机按钮没任何反应。。。现在在网吧回帖。。
天月来了 - 2008-11-30 16:07:00
不可能吧??

按开机按钮主机没任何反应???

你彻底断电后,再开机试试

这小程序不可能影响到主板都没反应的。
可恶的安铁诺 - 2008-11-30 17:02:00
嗯,版主可以了。
前面几次也是这样的,但是前面几次都是断电后重新接上就可以开机
这次等了半天也不行
知道现在我从外面回来后开机还是不行,再次断电重新接电后才开机成功。
请问这个问题怎么解决?
是不是电脑硬件问题?我知道超越了范围了,但是请你帮个忙。谢谢!
天月来了 - 2008-11-30 17:04:00
确实是硬件问题

吓死我了

我还以为我这程序有问题呢

我运气不好

第一次试程序,就碰上你这硬件有点问题的

估计是主板或电源部分问题了。

建议送修

主页问题呢???

还改不回来?
可恶的安铁诺 - 2008-11-30 17:34:00
好像问题解决了,
但是通过你的解决方案后,主页被锁定了,然后我就用黄山修复,把主页改回来了。
会不会弹出安铁诺那个网站还要等一会才知道
谢谢你
最后一个问题是:我的NOD32软件提示:应用程序协议分析将无法进行。变成了红色。。。
可恶的安铁诺 - 2008-11-30 17:35:00
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
我估计是这个。这个应该是NOD32应用程序协议分析的启动程序。。
但是也被我删了。。。
天月来了 - 2008-11-30 17:41:00
除非是这个EASYDOWNS.sys

那个HBKernel32.sys是蝗虫军团的驱动,病毒。
天月来了 - 2008-11-30 17:42:00
或者这两个你也删了?
C:\WINDOWS\system32\nsvc\nsvc.exe
C:\WINDOWS\system32\DRIVERS\epfwtdir.sys

愿意的话,再扫个最新日志来看看

NOD32就试试它自身的添加删除程序里是否有修复功能,修复试试吧
可恶的安铁诺 - 2008-11-30 17:51:00
我已经把NOD32卸载了,但是现在重装NOD装不上了。
每次都是在安装新的服务(或者是驱动)时就自动回滚了。
请看日志。谢谢你。呵呵。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

附件: SREngLOG.log
可恶的安铁诺 - 2008-11-30 17:53:00
另外,我怎么才能确定蝗虫军团病毒已经完全清理完毕?请指教。
可恶的安铁诺 - 2008-11-30 17:56:00
恩 我已经另外开帖,请版主移驾。今天下午麻烦你了。嘿嘿
天月来了 - 2008-11-30 18:03:00
日志看不出什么了

可以卸载NOD32后,再去安全模式下安装试试

还有看系统目录内我原本要你删除的那几个文件

看看是否有类似:
C:\WINDOWS\system32\XC0PY.exe
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\6457aed.sys
C:\WINDOWS\system32\b160485.sys
C:\WINDOWS\system32\drivers\BDGuard.SYS
C:\WINDOWS\system32\d435fd4.sys
C:\WINDOWS\system32\d812a079.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\drivers\yzpqax.sys
C:\WINDOWS\system32\drivers\EASYDOWNS.sys
的文件夹存在

有同名文件夹存在的,去删除这几个原本工具删除时生成的抑制文件夹。

再去重装杀毒软件。

呵呵!!!
可恶的安铁诺 - 2008-11-30 18:33:00
恩 文件夹已经找到并且删除了。
但是NOD32还是在“安装驱动程序”时无法进行下去。安全模式下WINDOWS INSTALLER的服务是默认停止的,无法安装。
天月来了 - 2008-11-30 18:36:00
那你彻底卸载一遍后

扫描个日志来

我给你手工删除其服务和驱动项再试试

如果你那杀毒软件不是付费的,就换别的玩吧
可恶的安铁诺 - 2008-11-30 18:44:00
已经完全卸载了
我用它比较顺手,占的内存小,杀毒还挺好。
你帮我看下日志,看有没有病毒文件,另外尽量帮我解决这个不能安装NOD32驱动程序的问题。谢谢你。
呵呵

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

附件: SREngLOG.log
可恶的安铁诺 - 2008-11-30 18:44:00
我已经发完日志了。
哎。。。
最后一次了。麻烦版主了。。
天月来了 - 2008-11-30 18:47:00
C:\WINDOWS\system32\nsvc\nsvc.exe这个到底是什么???

文件复制发来看


还有C:\WINDOWS\system32\drivers\EASYDOWNS.sys
可恶的安铁诺 - 2008-11-30 18:49:00
C:\WINDOWS\system32\nsvc\nsvc.exe
这个是一个电脑操作监控软件
可恶的安铁诺 - 2008-11-30 18:50:00
C:\WINDOWS\system32\drivers\EASYDOWNS.sys
这个只剩下文件夹了,现在已经删除了。
可恶的安铁诺 - 2008-11-30 18:51:00
C:\WINDOWS\system32\nsvc\nsvc.exe
=========
中文名字PC007
可恶的安铁诺 - 2008-11-30 18:52:00
C:\WINDOWS\system32\XC0PY.exe
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\6457aed.sys
C:\WINDOWS\system32\b160485.sys
C:\WINDOWS\system32\drivers\BDGuard.SYS
C:\WINDOWS\system32\d435fd4.sys
C:\WINDOWS\system32\d812a079.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\drivers\yzpqax.sys
C:\WINDOWS\system32\drivers\EASYDOWNS.sys
这些文件夹全部已经删除了。
天月来了 - 2008-11-30 18:52:00
还有这都是些什么???

C:\WINDOWS\system32\nsvc\nsvc.exe
C:\WINDOWS\system32\filem.exe
C:\WINDOWS\system32\winm.exe
C:\WINDOWS\system32\nsvc\nsensor.exe
C:\WINDOWS\system32\nsvc\mod_process.dll
C:\WINDOWS\system32\nsvc\mod_hook.dll
C:\WINDOWS\system32\nsvc\mod_snap.dll


日志看上去没有任何杀毒软件的残留了呀

应该可以正常安装了呀

你去重新下载安装包安装试试

我需要看这些文件,你到底自己知道不知道是什么???
天月来了 - 2008-11-30 18:53:00
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项,将启动类型改为“Disabled”
==================================
服务
[nsvc / nsvc][Running/Auto Start]
  <C:\WINDOWS\system32\nsvc\nsvc.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项,将启动类型改为“Disabled”
==================================
驱动程序
[FTP Protocol Driver / FTP][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\EASYDOWNS.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》文件关联》修复文件关联

—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
可恶的安铁诺 - 2008-11-30 19:02:00
OK了!
一切好了。能安装了。
谢谢楼主。哈哈
如果在深圳,一定请楼主吃饭。哈哈!
1
查看完整版本: 同样是安铁诺的网站自动弹出,按照前贴文件找不到,求助!
© 2000 - 2026 Rising Corp. Ltd.