瑞星卡卡安全论坛

大家帮忙看看啊,瑞星杀不出来.我自己杀了一个SLXC.EXE
真的很急谢谢大家了

病毒现在发作了,瑞星自动关闭.网页只能开不超过5分钟就自动关闭.
我现在发贴一句一句发了.:default11: 大家赶快帮忙啊!谢谢了

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

附件: SREngLOG.log

附件: SREngLOG.log

附件: smss.rar

附件: Admin.rar

附件: RegGuide.txt

附件: SREngLOG.log

重装之后全部补丁都打好了,上网为了测试就开了新浪首页,结果过了不到半小时电脑就卡起来了.

上网中毒不奇怪，建议安装防火墙，否则网上的恶意攻击很容易攻陷系统的。
日志看了，没什么可疑进程。

安装了瑞星防火墙,刚才又有病毒跳出来了.要不要上传.

我自己也觉得很奇怪,都全盘格了,还是马上就有病毒.难道真的有人恶意攻击我的端口?

刚才浏览器被自动关闭了,然后c盘windows下又生成了tcpsrv1.exe和timewinrgb.exe

可将看到的可疑文件，提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

看不出有什么异常

C:\WINDOWS\system32\RemInst\smss.exe
一直要强行联网但是被我屏蔽了,现在一直跳卡死了

回复：smss.exe

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.0.0.73	2009.01.03	Trojan-Downloader.Win32.Small!IK
AhnLab-V3	2008.12.31.0	2009.01.02	-
AntiVir	7.9.0.45	2009.01.02	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2009.01.02	W32/Heuristic-210!Eldorado
Avast	4.8.1281.0	2009.01.03	Win32:Trojan-gen {Other}
AVG	8.0.0.199	2009.01.02	Win32/Heur
BitDefender	7.2	2009.01.03	GenPack:Generic.Malware.dld!.528596F4
CAT-QuickHeal	10.00	2009.01.03	TrojanDownloader.Small.ahyp
ClamAV	0.94.1	2009.01.03	Trojan.Delf-6581
Comodo	866	2009.01.02	-
DrWeb	4.44.0.09170	2009.01.03	Trojan.DownLoad.25953
eTrust-Vet	31.6.6287	2009.01.01	-
Ewido	4.0	2008.12.31	-
F-Prot	4.4.4.56	2009.01.02	W32/Heuristic-210!Eldorado
F-Secure	8.0.14470.0	2009.01.03	Trojan-Downloader.Win32.Small.ahyp
Fortinet	3.117.0.0	2009.01.03	W32/Small.AHYP!tr.dldr
GData	19	2009.01.03	Win32:Trojan-gen {Other}
Ikarus	T3.1.1.45.0	2009.01.03	Trojan-Downloader.Win32.Small
K7AntiVirus	7.10.572	2009.01.02	Trojan-Downloader.Win32.Small.ahyp
Kaspersky	7.0.0.125	2009.01.03	Trojan-Downloader.Win32.Small.ahyp
McAfee	5482	2009.01.02	Generic Downloader.x
McAfee+Artemis	5482	2009.01.02	Generic Downloader.x
Microsoft	1.4205	2009.01.02	-
NOD32	3733	2009.01.02	Win32/Agent.OPZ
Norman	5.80.02	2009.01.02	W32/DLoader.LYQR
Panda	9.0.0.4	2009.01.02	Trj/downloader.VFI
PCTools	4.4.2.0	2009.01.02	-
Prevx1	V2	2009.01.03	Malicious Software
Rising	21.10.22.00	2008.12.31	-
SecureWeb-Gateway	6.7.6	2009.01.03	Trojan.Crypt.XPACK.Gen
Sophos	4.37.0	2009.01.03	Mal/EncPk-EW
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2009.01.03	Downloader
TheHacker	6.3.1.4.204	2009.01.02	-
TrendMicro	8.700.0.1004	2009.01.02	-
VBA32	3.12.8.10	2009.01.01	Trojan.Win32.VB.iah
ViRobot	2009.1.3.1541	2009.01.03	-
VirusBuster	4.5.11.0	2009.01.02	-

这个我看了,要用什么杀好呢?

下载XDELBOX 1.8：http://www.dodudou.com/down/index.php
使用XDELBOX 1.8删除以下文件
（勾选抑压再生，从剪贴板导入而不检查路径，马上重启删除）：

c:\windows\system32\reminst\smss.exe
c:\windows\qadkznpvyvg.log
c:\windows\qadkznpvyvg.log

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[WMI Performan Adapter / wmiApSvc]    <C:\WINDOWS\System32\RemInst\smss.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[SpecialStream / 1230955898]    <\??\C:\WINDOWS\QADKZNPVYVG.log>
[SpecialBaidu / 1230958275]    <\??\C:\WINDOWS\QADKZNPVYVG.log>

下载WINDOWS清理助手
http://www.arswp.com/download/arswp2/arswp2.zip
清理你的系统
解压缩进行

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\reminst\smss.exe
c:\program files\internet explorer\exckedt.dll
c:\windows\system32\secucomm.dll
c:\windows\qadkznpvyvg.log
c:\windows\qadkznpvyvg.log

2.删除重启后使用SREng修复下面各项：

  启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[Remote Access Bonnection Cana / RasAbc]    <C:\Program Files\Internet Explorer\exckedt.dll>
[WMI Performan Adapter / wmiApSvc]    <C:\WINDOWS\System32\RemInst\smss.exe>

启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[SpecialStream / 1230955898]    <\??\C:\WINDOWS\QADKZNPVYVG.log>
[SpecialBaidu / 1230958275]    <\??\C:\WINDOWS\QADKZNPVYVG.log>

咋觉得像远控:default2:

以下项目全部异常。
==================================
服务
[Remote Access Bonnection Cana / RasAbc][Running/Auto Start]
  <C:\Program Files\Internet Explorer\exckedt.dll><N/A>

[WMI Performan Adapter / wmiApSvc][Running/Auto Start]
  <C:\WINDOWS\System32\RemInst\smss.exe><(File is missing)>

==================================
驱动程序
[SpecialStream / 1230955898][Stopped/Manual Start]
  <\??\C:\WINDOWS\QADKZNPVYVG.log><N/A>

[SpecialBaidu / 1230958275][Running/Manual Start]
  <\??\C:\WINDOWS\QADKZNPVYVG.log><N/A>

==================================
正在运行的进程
[PID: 176 / SYSTEM][C:\Program Files\Internet Explorer\exckedt.dll]  [N/A, ]

[PID: 2124 / SYSTEM][C:\WINDOWS\System32\RemInst\smss.exe]  [N/A, ]

[PID: 3032 / song][C:\Program Files\Rising\Rfw\RegGuide.exe]  [N/A, ]

从上面的驱动的两个看，你极可能中了强感染型病毒，你虽然全格，但是你可能：

1、不是关机后，用光盘启动电脑，在dos下的全格

2、你又使用了你可能的什么原机文件，例如杀毒软件安装包或硬件驱动安装等

3、你如果在局域网，受其他电脑影响

忘了提示LZ，以上操作要断网的。

有道理
怎么瑞星的注册向导连公司名称都没了:default2:


[PID: 3032 / song][C:\Program Files\Rising\Rfw\RegGuide.exe]  [N/A, ]

不错，是感染型的，不让大多数程序运行的那个。
[LayerXpath / ccosmSrv][Stopped/Auto Start]
  <C:\Program Files\StormII\stormSrv.exe /asservice><(File is missing)>
从这个服务即可看出。

我刚才一直被强制关闭浏览器.那我先按aaccbbdd的步骤啦.

我原来的文件就一个用友数据库,但是不能删啊,有公司财务资料.

备份一下数据库，非系统分区的可执行程序不要用了，基本已经被病毒感染了。用光盘安装用友吧。

那你可能需要考虑只保留纯用友数据库文件

放弃该数据库文件所涉及的一切***.exe可执行文件了

因为病毒只感染可执行文件。不感染纯数据库文件。

我刚按aaccbbdd的方法弄了,好像现在还是在反复

我现在应该用什么方法,难道必须再全格吗

你是在断网下操作的么

简单的方法：不需全格，只要格掉C盘重做系统，注意不要使用硬盘上的可执行程序。

当然是的,现在更严重了,开始跳广告,改主页了

方便的话，只保留用友的纯数据库文件

然后再全格吧，原机任何可执行文件都得放弃

没办法的，这感染是不可修复的目前。

我其他的盘exe要不要全部删除,天月那个介绍强感染的帖子对我有用吗

有用的啦

但是不要指望被感染的程序能被修复

我那个的基本原则就那样了

一般用户自己按照那个处理就很容易自助清理完的。