瑞星卡卡安全论坛

电脑启动超级慢，瑞星和卡卡都打不开。  貌似一部分.exe文件也打不开，每次开机在桌面总弹出“聚友娱乐视频棋牌”，删不掉。还有“ctrl+alt+del”的任务管理器也打不开。附件是日志，麻烦各位大大帮忙看看吧。

附件: 1.log (2009-1-28 11:19:58, 71.16 K)
该附件被下载次数 231

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

C:\WINDOWS\system32\svchest.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Common Files\zatls\ztes.exe
C:\WINDOWS\system32\sv1F.tmp.exe
C:\WINDOWS\system32\sv20.tmp.exe
C:\WINDOWS\system32\Drivers\00230e2e.sys
C:\WINDOWS\system32\Drivers\9438671.sys
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\4EE6D1B5.dat
    [C:\WINDOWS\system32\csrss.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh07006.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh08025.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh12019.dll]  [N/A, ]
    [C:\WINDOWS\system32\sh28016.dll]  [N/A, ]
    [C:\WINDOWS\fonts\CtmRes.dll]  [N/A, ]
    [C:\WINDOWS\fonts\ctm04005.ttf]  [N/A, ]
  [C:\WINDOWS\system32\sinx32.dll]  [N/A, ]
  [C:\WINDOWS\fonts\CtmRes.dll]  [N/A, ]
    [C:\WINDOWS\fonts\ctm04005.ttf]  [N/A, ]
    [C:\WINDOWS\system32\cgojmalc.dll]  [N/A, ]
    [C:\WINDOWS\system32\ckfpgnhh.dll]  [N/A, ]
    [C:\WINDOWS\system32\ciiebcog.dll]  [N/A, ]
    [C:\WINDOWS\system32\aigdkidm.dll]  [N/A, ]
    [C:\WINDOWS\system32\lbnjlglc.dll]  [N/A, ]
    [C:\WINDOWS\system32\nibamfhd.dll]  [N/A, ]
    [C:\WINDOWS\system32\ngnmcdci.dll]  [N/A, ]
    [C:\WINDOWS\system32\cbclpibj.dll]  [N/A, ]
    [C:\WINDOWS\system32\imhbngnf.dll]  [N/A, ]
    [C:\WINDOWS\system32\flokfdef.dll]  [N/A, ]
    [C:\WINDOWS\system32\aghfhhba.dll]  [N/A, ]
    [C:\WINDOWS\system32\ebkbdfjc.dll]  [N/A, ]
    [C:\WINDOWS\system32\fdohcphc.dll]  [N/A, ]
    [C:\WINDOWS\system32\mdclggfn.dll]  [N/A, ]
    [C:\WINDOWS\system32\lhleaenb.dll]  [N/A, ]
    [C:\WINDOWS\system32\nedjjhma.dll]  [N/A, ]
    [C:\WINDOWS\system32\hidcdinl.dll]  [N/A, ]
    [C:\WINDOWS\system32\ffcpilma.dll]  [N/A, ]
    [C:\WINDOWS\system32\ejecakpf.dll]  [N/A, ]
    [C:\WINDOWS\system32\gdjdmkcn.dll]  [N/A, ]
    [C:\WINDOWS\system32\icopokdk.dll]  [N/A, ]
    [C:\WINDOWS\system32\gpnkfold.dll]  [N/A, ]
    [C:\WINDOWS\system32\dpllhjke.dll]  [N/A, ]
    [C:\WINDOWS\system32\anymie360.dll]  [N/A, ]
  [C:\WINDOWS\system32\jlcgcdme.dll]  [N/A, ]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CPWGameRecord.dll]  [N/A, ]
C:\Program Files\Common Files\zatls\lsies.exe]  [N/A, ]
  [C:\WINDOWS\system32\cgojmalc.dll]  [N/A, ]
    [C:\WINDOWS\system32\ckfpgnhh.dll]  [N/A, ]
    [C:\WINDOWS\system32\ciiebcog.dll]  [N/A, ]
    [C:\WINDOWS\system32\aigdkidm.dll]  [N/A, ]
    [C:\WINDOWS\system32\lbnjlglc.dll]  [N/A, ]
    [C:\WINDOWS\system32\nibamfhd.dll]  [N/A, ]
    [C:\WINDOWS\system32\ngnmcdci.dll]  [N/A, ]
    [C:\WINDOWS\system32\cbclpibj.dll]  [N/A, ]
    [C:\WINDOWS\system32\imhbngnf.dll]  [N/A, ]
    [C:\WINDOWS\system32\flokfdef.dll]  [N/A, ]
    [C:\WINDOWS\system32\aghfhhba.dll]  [N/A, ]
    [C:\WINDOWS\system32\ebkbdfjc.dll]  [N/A, ]
    [C:\WINDOWS\system32\fdohcphc.dll]  [N/A, ]
    [C:\WINDOWS\system32\mdclggfn.dll]  [N/A, ]
    [C:\WINDOWS\system32\lhleaenb.dll]  [N/A, ]
    [C:\WINDOWS\system32\nedjjhma.dll]  [N/A, ]
    [C:\WINDOWS\system32\hidcdinl.dll]  [N/A, ]
    [C:\WINDOWS\system32\ffcpilma.dll]  [N/A, ]
    [C:\WINDOWS\system32\ejecakpf.dll]  [N/A, ]
    [C:\WINDOWS\system32\gdjdmkcn.dll]  [N/A, ]
    [C:\WINDOWS\system32\icopokdk.dll]  [N/A, ]
提交到这里或者提交给瑞星，地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

删除注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

下载附件替换这两个文件
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\userinit.exe

附件: XPSP2_rpcss.zip

附件: XP SP2_userinit.rar

附件: 系统文件替换工具Replacer.rar

下载附件用通用病毒灭杀机来清除
通用病毒杀灭机
下载地址：
http://www.kingzoo.com/tools/VirusKillBox 1.2.rar
方法 ：文件导入（导入本文附件的aa.dat  文件，）点执行指令 自动重启计算机删除 可点击如下的链接看图如何操作的。
http://hi.baidu.com/teyqiu/blog/item/3804738da93d7a16b31bba32.html


关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹     
http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

下载windows清理助手清理恶意软件（更新后使用）
http://www.arswp.com/download.html


使用瑞星全盘扫描一次。再上一份日志

附件: aa.rar

老大，是把"Image File Execution Options "下的所有文件都删除吗?

这是删除病毒的劫持，但如果病毒没清理干净的话，还会重建···使用杀灭机杀吧。已经添加删除IFEO了。先下载二楼的附件替换文件再照三楼操作！

速度上来了，可是瑞星还是不能用，windows清理助手清理恶意软件也打不开

刚扫描的日志

附件: 2.log (2009-1-28 12:54:05, 58.77 K)
该附件被下载次数 225

七月老大，麻烦再给看看

把助手目錄下的arswp.exe重命名為123.exe
如依然不能運行的話，試試這個！http://www.arswp.com/bbs/thread-29016-1-1.html
清理完再上個日誌

其他的全都好了，现在唯一的问题是瑞星还是没法用

附件: 3.log (2009-1-28 13:44:39, 40.08 K)
该附件被下载次数 256

我今天这样小星星也是不能用啊全禁用了我用的笨方法重装:default3:

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作（重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files）。运行xdelbox前最好卸载所有可移动存储设备。
c:\windows\system32\tlmqtld.dll
c:\program files\common files\zatls\ztes.exe
c:\windows\system32\sv1f.tmp.exe
c:\windows\system32\sv20.tmp.exe
c:\windows\system32\drivers\00230e2e.sys
c:\windows\system32\drivers\9438671.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{C0836A5C-C8B4-4EE5-AC8F-CCF1AB844FFA}]    <C:\WINDOWS\system32\cgojmalc.dll>
[{C4F90711-07D9-485E-8FFB-48A765FB703D}]    <C:\WINDOWS\system32\ckfpgnhh.dll>
[{C22EBC80-ABBB-4917-98EB-D9425ADD2C11}]    <C:\WINDOWS\system32\ciiebcog.dll>
[{A20D42D6-0389-45A2-91B0-31795B40C270}]    <C:\WINDOWS\system32\aigdkidm.dll>
[{5B73505C-62F6-46D8-A945-14454343D94E}]    <C:\WINDOWS\system32\lbnjlglc.dll>
[{72BA6F1D-759B-4D72-9AD5-87A842E1B869}]    <C:\WINDOWS\system32\nibamfhd.dll>
[{7076CDC2-CD8B-4B34-A915-DCF116DD80BA}]    <C:\WINDOWS\system32\ngnmcdci.dll>
[{CBC592B3-1A37-4BA6-BD9E-C38A958CCA31}]    <C:\WINDOWS\system32\cbclpibj.dll>
[{261B707F-761F-41AD-A85A-9F78780A288D}]    <C:\WINDOWS\system32\imhbngnf.dll>
[{F584FDEF-F855-4E6D-A436-EC7D20E419CC}]    <C:\WINDOWS\system32\flokfdef.dll>
[{A01F11BA-AB91-41F1-AA17-E05C9DD1D7E6}]    <C:\WINDOWS\system32\aghfhhba.dll>
[{EB4BDF3C-63D4-4A94-8A98-28D9EA81730F}]    <C:\WINDOWS\system32\ebkbdfjc.dll>
[{FD81C91C-8013-4B9B-8A41-70FBD3C62EF6}]    <C:\WINDOWS\system32\fdohcphc.dll>
[{6DC500F7-62E8-4A18-AAD8-E90FA6F9ABA8}]    <C:\WINDOWS\system32\mdclggfn.dll>
[{515EAE7B-A975-42D8-8974-9F7152471CAC}]    <C:\WINDOWS\system32\lhleaenb.dll>
[{7ED3316A-E0A9-4C2E-94A2-ED21F50D890E}]    <C:\WINDOWS\system32\nedjjhma.dll>
[{12DCD275-5FC0-4693-B223-72C43546C253}]    <C:\WINDOWS\system32\hidcdinl.dll>
[{FFC9256A-3826-4D04-A1E1-55955249AD9F}]    <C:\WINDOWS\system32\ffcpilma.dll>
[{E3ECA49F-CFEB-4E9D-BC25-F3ECD0FBDE5A}]    <C:\WINDOWS\system32\ejecakpf.dll>
[{0D3D64C7-ABFA-4B39-8C13-5BC0AB504E6C}]    <C:\WINDOWS\system32\gdjdmkcn.dll>
[{2C8984D4-866D-4C96-AC5E-3E0CB257A9AC}]    <C:\WINDOWS\system32\icopokdk.dll>
[{0974F85D-B74D-45D6-8D11-C2A341F1FAA2}]    <C:\WINDOWS\system32\gpnkfold.dll>
[{D955134E-1A10-444A-AE12-03857A9E1B59}]    <C:\WINDOWS\system32\dpllhjke.dll>
[{35C0CD6E-A5BA-46A3-8C66-5915CE1CCD2E}]    <C:\WINDOWS\system32\jlcgcdme.dll>
[C0836A5C]    <C:\WINDOWS\system32\cgojmalc.dll>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[MS Media Control Center / MediaCenter]    <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\TlmqtlD.dll>
[Operating System Error Log Freeback / OSEL]    <C:\Program Files\Common Files\zatls\ztes.exe>
[Provisioning Transaction Service / pangu222]    <C:\WINDOWS\system32\sv1F.tmp.exe>
[ervice / ervice]    <C:\WINDOWS\system32\sv20.tmp.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[00230e2e / 00230e2e]    <\??\C:\WINDOWS\system32\Drivers\00230e2e.sys>
[Safe Mon 360 / SafeMon0]    <>
[Safe Mon 360 / SafeMon0]    <>
[msiffei / msiffei]    <>
[msiffei / msiffei]    <>
[apcdli / apcdli]    <>
[apcdli / apcdli]    <>
[9438671 / 9438671]    <\??\C:\WINDOWS\system32\Drivers\9438671.sys>


用助手掃描一次。瑞星如依然不能使用重新安裝

中毒严重  复制要删除的东东和下载的工具进入安全模式删除

下载unlocker(强制删除工具)、XDelBox(路径删除工具,使用时勾选“抑制再生”)、Autoruns(删除服务、驱动等程序)

下载地址:http://dly2007.ys168.com

1、注册表手动删除;2、用XDelBox删除C:\WINDOWS\system32路径程序;3、Autoruns删除服务、驱动等程序 


------------------------------------------------------------------------------

删除下列注册表项(开始--运行--regedit)
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <svchest.exe><C:\WINDOWS\system32\svchest.exe>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{C0836A5C-C8B4-4EE5-AC8F-CCF1AB844FFA}><C:\WINDOWS\system32\cgojmalc.dll>  [File is missing]
    <{C4F90711-07D9-485E-8FFB-48A765FB703D}><C:\WINDOWS\system32\ckfpgnhh.dll>  [File is missing]
    <{C22EBC80-ABBB-4917-98EB-D9425ADD2C11}><C:\WINDOWS\system32\ciiebcog.dll>  [File is missing]
    <{A20D42D6-0389-45A2-91B0-31795B40C270}><C:\WINDOWS\system32\aigdkidm.dll>  [File is missing]
    <{5B73505C-62F6-46D8-A945-14454343D94E}><C:\WINDOWS\system32\lbnjlglc.dll>  [File is missing]
    <{72BA6F1D-759B-4D72-9AD5-87A842E1B869}><C:\WINDOWS\system32\nibamfhd.dll>  [File is missing]
    <{7076CDC2-CD8B-4B34-A915-DCF116DD80BA}><C:\WINDOWS\system32\ngnmcdci.dll>  [File is missing]
    <{CBC592B3-1A37-4BA6-BD9E-C38A958CCA31}><C:\WINDOWS\system32\cbclpibj.dll>  [File is missing]
    <{261B707F-761F-41AD-A85A-9F78780A288D}><C:\WINDOWS\system32\imhbngnf.dll>  [File is missing]
    <{F584FDEF-F855-4E6D-A436-EC7D20E419CC}><C:\WINDOWS\system32\flokfdef.dll>  [File is missing]
    <{A01F11BA-AB91-41F1-AA17-E05C9DD1D7E6}><C:\WINDOWS\system32\aghfhhba.dll>  [File is missing]
    <{EB4BDF3C-63D4-4A94-8A98-28D9EA81730F}><C:\WINDOWS\system32\ebkbdfjc.dll>  [File is missing]
    <{FD81C91C-8013-4B9B-8A41-70FBD3C62EF6}><C:\WINDOWS\system32\fdohcphc.dll>  [File is missing]
    <{6DC500F7-62E8-4A18-AAD8-E90FA6F9ABA8}><C:\WINDOWS\system32\mdclggfn.dll>  [File is missing]
    <{515EAE7B-A975-42D8-8974-9F7152471CAC}><C:\WINDOWS\system32\lhleaenb.dll>  [File is missing]
    <{7ED3316A-E0A9-4C2E-94A2-ED21F50D890E}><C:\WINDOWS\system32\nedjjhma.dll>  [File is missing]
    <{12DCD275-5FC0-4693-B223-72C43546C253}><C:\WINDOWS\system32\hidcdinl.dll>  [File is missing]
    <{FFC9256A-3826-4D04-A1E1-55955249AD9F}><C:\WINDOWS\system32\ffcpilma.dll>  [File is missing]
    <{E3ECA49F-CFEB-4E9D-BC25-F3ECD0FBDE5A}><C:\WINDOWS\system32\ejecakpf.dll>  [File is missing]
    <{0D3D64C7-ABFA-4B39-8C13-5BC0AB504E6C}><C:\WINDOWS\system32\gdjdmkcn.dll>  [File is missing]
    <{2C8984D4-866D-4C96-AC5E-3E0CB257A9AC}><C:\WINDOWS\system32\icopokdk.dll>  [File is missing]
    <{0974F85D-B74D-45D6-8D11-C2A341F1FAA2}><C:\WINDOWS\system32\gpnkfold.dll>  [File is missing]
    <{D955134E-1A10-444A-AE12-03857A9E1B59}><C:\WINDOWS\system32\dpllhjke.dll>  [File is missing]
    <{35C0CD6E-A5BA-46A3-8C66-5915CE1CCD2E}><C:\WINDOWS\system32\jlcgcdme.dll>  [File is missing]
    <C0836A5C><C:\WINDOWS\system32\cgojmalc.dll>  [File is missing]

---------------------------------------------------------------
删除服务
[ervice / ervice][Stopped/Disabled]
  <C:\WINDOWS\system32\sv20.tmp.exe><(File is missing)>
[MS Media Control Center / MediaCenter][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\TlmqtlD.dll><N/A>
[Operating System Error Log Freeback / OSEL][Stopped/Disabled]
  <C:\Program Files\Common Files\zatls\ztes.exe><(File is missing)>
[Provisioning Transaction Service / pangu222][Stopped/Disabled]
  <C:\WINDOWS\system32\sv1F.tmp.exe><(File is missing)>
--------------------------------------------------------------------

删除驱动程序
[00230e2e / 00230e2e][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\00230e2e.sys><N/A>
[9438671 / 9438671][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\9438671.sys><N/A>

还是不行。
用Sreng启动，每次都会弹出对话框“注册表值AppInit-DLLs被修改成非正常值（默认值为空）” 
但是修改以后还是弹出这个对话框

附件: 4.log (2009-1-28 15:19:28, 44.84 K)
该附件被下载次数 241

每次都会弹出对话框“注册表值AppInit-DLLs被修改成非正常值（默认值为空）”

这个不用管  先按12楼的方法修复  楼主先操作下具体操作步骤

AppInit-DLLs是被卡卡修改的，正常。日誌已經看不到異常。現在電腦還有什麼問題？

瑞星打开后，点击“开始查杀”没有反应，还有“防御”和“实时监控”的几个选项都是关闭的，也不能开启。

這步做了沒？

瑞星还是不能用，我只好先用其他的杀了。七月大大，非常感谢今天的帮助。另外也谢谢Pigboy大虾