瑞星卡卡安全论坛

在使用迅雷下载电影过程中，中标，现象如下：
浏览器主页自动更改；
自动弹出QQ中奖消息（没上QQ也弹）；
QQ登陆器自带查杀总显示有盗号木马，却清除不掉；
机子上的杀毒软件基本被屏蔽，无法打开；
开机时桌面弹出不明乱码TXT；
电脑运行速度有所减慢。
  求解决办法 ，谢谢！
     

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.58 http://bsalsa.com/ EmbeddedWB- 14.58  from: http://bsalsa.com/ ; Mozilla/4.0(Compatible RogueCleanerEmbeddedWB- 14.58  from: http://bsalsa.com/ )

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助，随意开多贴求助，将被删除多余求助贴。

请LZ把日志上传```才有人帮你分析!~!!!:default3:

哇 这么严重~~~
扫SRENG日志发反病毒/反流氓区论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

qq弹窗:default3:

挺麻烦了

楼主的杀毒软件杀不到？
打不开么
没听说过QQ能杀毒:default3:

扫描报告：

附件: SREngLOG.log

1.
断开网络，开始—运行—输入services.msc，把下列服务设置为“禁用”：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time
2.打开C:\windows\system32\dllcache文件夹 依次找到

schedsvc.dll

appmgmts.dll

srsvc.dll

w32time.dll

wiaservc.dll
文件

分别覆盖掉C:\windows\system32\schedsvc.dll

C:\windows\System32\appmgmts.dll

C:\windows\System32\srsvc.dll

C:\windows\System32\w32time.dll

C:\windows\system32\wiaservc.dll

参见
http://bbs.ikaka.com/showtopic-8561436.aspx
替换本机rpcss.dll

3.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\temp\368828.txt
c:\windows\system32\csrss.dll
c:\windows\system32\sh05024.dll
c:\windows\system32\sh02015.dll
c:\windows\system32\sh07006.dll
c:\windows\system32\sh12019.dll
c:\windows\system32\sh27021.dll
c:\windows\system32\sh28016.dll
c:\windows\system32\sh29006.dll
c:\windows\system32\afmeghcn.dll
c:\windows\system32\hbzhuxian.dll
c:\windows\system32\kciamjnc.dll
c:\windows\system32\liafjbnb.dll
c:\windows\system32\mobclldp.dll
c:\windows\system32\nnhibgmi.dll
c:\windows\system32\nomchffp.dll
c:\windows\system32\pojggigo.dll
c:\program files\internet explorer\joont08.dzx
c:\windows\system32\anymie360.dll
c:\windows\system32\wd0105.dll
c:\windows\temp\wooolinit.dat
c:\windows\temp\wowinitcode.dat
c:\windows\system32\artlbbdll.dll
c:\windows\system32\cagibojk.dll
c:\windows\system32\imdaaanp.dll
c:\windows\system32\jhimoaap.dll
c:\windows\system32\kjnbcjig.dll
c:\windows\system32\lodbeghp.dll
c:\windows\system32\nmdfcaac.dll
c:\windows\system32\pbedogmh.dll
c:\windows\system32\pnmfmhfm.dll
c:\progra~1\snav\snav.dll
c:\windows\hkntdll.dll
c:\windows\system32\drivers\xts.sys
c:\windows\system32\316287cb.dat
c:\windows\system32\nspass4.sys
c:\windows\system32\nspass3.sys
c:\windows\system32\nspass2.sys
c:\windows\system32\nspass1.sys
c:\windows\system32\nspass0.sys
c:\windows\system32\nskhelper2.sys
c:\windows\system32\drivers\msiffei.sys
c:\program files\rising\rav\hookapi.sys
c:\windows\intel\baiduc.dll
C:\kitkit.dll
D:\kitkit.dll
E:\kitkit.dll
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
 

4.删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：
    <{5A041F13-A111-12A4-B0CF-F99818AA68A5}><C:\WINDOWS\system32\artlbbdll.dll>  []
    <{D38EC95C-0BEE-4404-A0E0-8FF9764F6D74}><C:\Program Files\Internet Explorer\JooNt08.Dzx>  []
    <{3A6BCC51-209B-4B67-B822-1F2AB87F6E43}><C:\WINDOWS\system32\jambcclh.dll>  [File is missing]
    <{C35F3883-4922-4A07-9CF1-71F0DBC39409}><C:\WINDOWS\system32\cjlfjooj.dll>  [File is missing]
    <{CA02B834-EEBE-49E3-92A1-18A57201471C}><C:\WINDOWS\system32\cagibojk.dll>  []
    <{437BC320-3905-4D3F-ABE1-F92A6FE3ED87}><C:\WINDOWS\system32\kjnbcjig.dll>  []
    <{31268AA9-9FF3-4D97-849A-3B96CD36D2FB}><C:\WINDOWS\system32\jhimoaap.dll>  []
    <{26DAAA79-7439-4A49-AF27-CC7B9A8A89CE}><C:\WINDOWS\system32\imdaaanp.dll>  []
    <{9BED8061-F710-48B1-A8CF-A2F9D1B545DD}><C:\WINDOWS\system32\pbedogmh.dll>  []
    <{976F61F6-C302-4E2F-A8C1-F6F87386A420}><C:\WINDOWS\system32\pnmfmhfm.dll>  []
    <{76DFCAAC-31A5-42AC-AED1-C78BF91E26EB}><C:\WINDOWS\system32\nmdfcaac.dll>  []
    <{58DBE019-8D1C-46A9-B5CB-2D687EA46328}><C:\WINDOWS\system32\lodbeghp.dll>  []
    <3A6BCC51><C:\WINDOWS\system32\jambcclh.dll>  [File is missing]
    <C35F3883><C:\WINDOWS\system32\cjlfjooj.dll>  [File is missing]
    <CA02B834><C:\WINDOWS\system32\cagibojk.dll>  []
    <437BC320><C:\WINDOWS\system32\kjnbcjig.dll>  []
    <31268AA9><C:\WINDOWS\system32\jhimoaap.dll>  []
    <26DAAA79><C:\WINDOWS\system32\imdaaanp.dll>  []
    <9BED8061><C:\WINDOWS\system32\pbedogmh.dll>  []
    <976F61F6><C:\WINDOWS\system32\pnmfmhfm.dll>  []
    <76DFCAAC><C:\WINDOWS\system32\nmdfcaac.dll>  []
    <58DBE019><C:\WINDOWS\system32\lodbeghp.dll>  []
    <Startwd><rundll32.exe C:\WINDOWS\system32\wd0105.dll,Hook>  []
    <HBService32><System.exe>  [HB Software]
  <Alcmtr><anymie360.exe>  []
    <qq><C:\WINDOWS\TEMP\368828.txt>  []

  <AppInit_DLLs><HBZHUXIAN.dll,cagibojk.dll,kjnbcjig.dll,jhimoaap.dll,imdaaanp.dll,pbedogmh.dll,pnmfmhfm.dll,nmdfcaac.dll,lodbeghp.dll>  []改为<>

  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[xmmlj / xmmlj]    <\SystemRoot\system32\drivers\xts.sys>
[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\316287CB.dat>
[NsPsDk04 / NsPsDk04]    <\??\C:\WINDOWS\system32\NsPass4.sys>
[NsPsDk03 / NsPsDk03]    <\??\C:\WINDOWS\system32\NsPass3.sys>
[NsPsDk02 / NsPsDk02]    <\??\C:\WINDOWS\system32\NsPass2.sys>
[NsPsDk01 / NsPsDk01]    <\??\C:\WINDOWS\system32\NsPass1.sys>
[NsPsDk00 / NsPsDk00]    <\??\C:\WINDOWS\system32\NsPass0.sys>
[NsDlRK250 / NsDlRK250]    <\??\C:\WINDOWS\system32\Nskhelper2.sys>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[HOOKAPI / HOOKAPI]    <\??\C:\PROGRAM FILES\RISING\RAV\HookApi.Sys>

    系统修复－－　浏览器加载项之如下项删除：
[SearchHook Class]    <C:\PROGRA~1\snav\Snav.dll>
[]    <C:\WINDOWS\system32\artlbbdll.dll>
[]    <C:\Program Files\Internet Explorer\JooNt08.Dzx>
[SearchHook Class]    <C:\PROGRA~1\snav\Snav.dll>
[Info cache]    <C:\WINDOWS\Intel\baiduc.dll>
[Info cache]    <C:\WINDOWS\Intel\baiduc.dll>

5.附件清除映像劫持项

附件: 映像劫持修复工具.rar

小狮子姐姐真快，怎么看了看和这个很像呢？:default27:

http://bbs.ikaka.com/showtopic-8588065-1.aspx

就是
NSDownLoader
也叫超级av终结者（金山叫的）

有点麻烦 ，第二步 复制 我不太会，复制的软件下来了，不太会用；
就是在 C:\windows\system32\dllcache文件夹 找到那些文件后，接下来怎么做的 ？

放到
C:\windows\System32\文件夹里
替换同名文件

Xdelbox1.8  下载下来后，用不了 ，好像也是被屏蔽中

改名，a.exe什么的
或a.com

试试附件
都可以删除

附件: DelayDelFile.zip

附件: c-_j_-x-_j.rar

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

哇，楼主的电脑情况看到我心寒:default3: :default3: :default3:

里面N/A结尾的都是毒:default1: :default1:

是啊  太麻烦了  我都不会弄啊  你说该怎么办啊

上传照片的话你可以点击那个“回复”，弹出一个页面时你在上传附件那点击“浏览”，在从路劲那找到你要上传的附件即可:default7: :default7:

按照aaccbbdd前辈说的去操作先吧:default7:

现在的 杀毒软件都能被屏蔽掉， 那装来还有什么用哦。 想个办法吧 ， 那个高贵耄耋狮给的方法太复杂，我不会啊

这东西，几分钟就从右下角弹出一次，不登QQ也弹， 要疯了 ！！

怎么会复杂呢:default7: 把schedsvc.dll

appmgmts.dll

srsvc.dll

w32time.dll

wiaservc.dll
这几个玩意儿给替换掉然后把那些病毒路径一次性给黏贴到XDelBox1.8的路径里，再点击拟制再生，然后点重启后杀掉不就好了嘛:default7: 之后重启电脑后运行SRENG，点击启动项目，在注册列表里面手动找到aaccbbdd前辈说的那些东西然后删掉它们:default7: 后面那些也是那样根据aaccbbdd做就好了嘛。看着看着手都痒了:default6: :default6:

‘在注册列表里面手动找到那些东西然后删掉它们 ’ ， 那个注册表里有几百个都不止吧，眼都花了， 后面的更是看不懂了 。
有没有 更简便的方法？

没办法咯，必须从根本上清除病毒:default2: :default2: 假如不想那么麻烦的话只有重装系统了:default3: :default3:

这毒太毒了的
你可以尝试下先用winrar展开至每个C D E盘根目录下，删除autorun.inf
之后找到瑞星安装目录，将rav.exe改名为a.exe，之后运行全盘扫描。

另外这里下载ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe，完成后也一起全盘扫描
还不行就重装算了
手工杀毒很麻烦

毕竟超级AV终结者是08年底推出的新毒，这东西还是预防的好:default2: :default2:

先使用附件的东西  然后参照狮子姐姐的方法解决.
不过我估计  你看不懂解决方法.

所以  ..  然后 ..    我没办法了  要么请狮子姐姐给你写详细点?

附件: 映像劫持修复工具.rar

附件: 恶意隐藏文件的专杀 1.9 .rar

听说金山那除了超级AV终结者的专杀工具，我就不太清楚咯。只是我把日志发给我的朋友们他们说不单纯中了这个病毒，里面还有蝗虫军团变种成分在内:default3:

......
那是专杀工具？。。。。。。。
不过是急救箱