瑞星卡卡安全论坛

感谢pluto1313为大家提供了这样一个互动式杀毒工具。

这个工具要配合求助者的SRENG日志或autoruns日志使用。

步骤如下：

1、求助者在论坛贴完整的SRENG日志或autoruns日志，请人帮助辨别病毒程序。
2、有经验的网友根据日志所见异常回复求助者帖子，明确标识出病毒程序（如图1－图3红框所示）。

图1



图2



图3（此图中的病毒文件SRENG日志中看不到。建议求助者发日志时顺便截图附发在帖子中）



3、求助者根据上述回复，用记事本整理一个txt文件（图4）。全选图4中的所有内容，按ctrl_c。
图4

4、打开这个“usp10.dll病毒清除工具”（双击其文件名：Antivirus.exe），按ctrl-V。病毒文件即贴到此工具的窗口中。
5、点击“开始处理”（图5）。处理完成后，此工具会提示“系统重启”。不必理会，随其重启系统即可。
图5

6、目前，此工具还存在一个小问题：%system%目录下的那个.dat病毒文件删不掉。可以如图6所示这样处理。
图6

7、删除上述驱动项后，重启系统。
8、重启后，设置文件夹选项，以显示隐藏文件（图7－图8）。
图7

图8

9、找到%system%目录下那个.dat，右击其文件名，点击删除（图9）。
图9


用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

10、打扫垃圾。删除剩下的IFEO劫持项、病毒驱动项以及病毒添加的浏览器加载项、清空IE临时文件夹即可（图10－11）。

图10



图11

附件就是1.30更新过的此工具。无密码。

附件: Antivirus.rar (2009-1-31 16:54:42, 15.58 K)
该附件被下载次数 2570

楼主帮看下我机子所在的病毒

附件: SREngLOG.log

附件: SREngLOG.log

老猫

工具你得继续更新呀

剑盟那你没注意？

附件已经更新

楼主帮帮忙，帮我看一下哪些是病毒。

附件: SREngLOG.log

C:\WINDOWS\system32\hpcplloj.dll
C:\WINDOWS\system32\oibljpjj.dll
C:\WINDOWS\system32\hopclhpl.dll
C:\WINDOWS\system32\kgnjpnfh.dll
C:\WINDOWS\system32\nglphhcc.dll
C:\WINDOWS\system32\cjiglnnd.dll
C:\WINDOWS\system32\papglegd.dll
C:\WINDOWS\system32\dnjfigim.dll
C:\WINDOWS\system32\hcfbiknp.dll
C:\WINDOWS\system32\idbgkjfh.dll
C:\WINDOWS\system32\cacfhiom.dll
C:\WINDOWS\system32\plmldhpg.dll
C:\WINDOWS\system32\bpcodnoo.dll

shu ru fa bu neng yong
gan xie dajia bang zhu xia!

附件: 360安全卫士诊断报告.txt

麻烦也帮我看下日志.
主要问题已经发了贴说明.http://bbs.ikaka.com/showtopic-8593210-1.aspx
希望大家来帮忙啊.

附件: SREngLOG.log

此外，日志中看不到的病毒文件还有：

1、%windows%\Fonts\目录下的：
comres.dll（隐藏的）
ctmxxxx.fon（xxxx代表数字）（隐藏的，若干个）
ctmxxxx.ttf（xxxx代表数字）（隐藏的，若干个）
ctmres.dll（隐藏的）
各非系统分区含.exe目录下的所有usp10.dll（隐藏的）

2、被病毒替换的系统文件可能包括系统目录下的：
userinit.exe、ctfmon.exe、usp10.dll、rpcss.dll、comres.dll


安装QQ者，QQ目录下还有病毒文件。我不玩儿QQ，具体的病毒文件及其位置，我不清楚。

请各位版主大大帮忙，我的usp10.dll杀完之后启动应用蓝屏:default46:
http://bbs.ikaka.com/showtopic-8593644.aspx

不好意思,请问下,隐藏的病毒文件怎么杀啊?我在C盘搜索不到这些文件啊

ctmxxxx.fon（xxxx代表数字）（隐藏的，若干个）
ctmxxxx.ttf（xxxx代表数字）（隐藏的，若干个）
按你的方法去做,还是找不到.
而且被病毒替换的系统文件可能包括系统目录下的：
userinit.exe、ctfmon.exe、usp10.dll、rpcss.dll、comres.dll办法是不是重新下载系统文件?
如果是的话,我已经把下载的系统文件重新复制到system32下面.但是ctfmon.exe却无法复制.提示:文件正在被另一个或程序使用.关闭任何可能使用这个文件的程序,重新试一次.usp10.dll、rpcss.dll在xpsp3正常系统文件备份中找不到,xpsp3正常系统文件备份是在论坛上下载的.

把你帮我在日志用红框标明的那些文件用工具清掉后接着做什么?

各非系统分区含.exe目录下的所有usp10.dll（隐藏的）
也没有.就是系统下有这个文件,其他的硬盘中都没有呢.

usp10.dll是不是在安全模式下可以找到删除的?

安全模式进去了,也找不到在非系统下的USP10.dll文件呢

我置顶木马群的贴细看去:default3:

谢谢指点.

请楼主帮我看下是哪些病毒，谢谢了，

附件: SREngLOG.log

:default3:

bang wo kan kan

lian zi dou da bu chu lai le:default11:

附件: SREngLOG.log (2009-2-4 21:41:57, 61.33 K)
该附件被下载次数 245

:default3:

附件: AutoRuns.txt

附件: 图.rar

你的问题与usp10.dll木马群无关。

下面两个图（取自你的附件）红框标出的注册表项可以删除（指向的文件已不存在）。具体什么原因导致这些文件丢失，你自己可能比我清楚。

可以发现的病毒文件见附图（取自你的SRENG日志）。兰框表示病毒文件已不存在；红框表示还健在的病毒文件。





SRENG日志看不见的病毒文件也要用此工具一并删除。这些病毒文件可能是：

1、非系统分区含.exe文件的各个文件夹中的usp10.dll；
2、%windows%\Tasks目录下的 1；
3、%windows%目录下的一个dll（此目录下正常情况下一般无dll文件）；
4、如果安装了QQ，QQ目录下也有病毒文件（具体的病毒文件名我不太清楚，因为我的系统中不安装QQ）；
5、当前用户临时文件夹%temp%中的病毒文件（这个文件夹中的所有文件都可删除而不影响用户使用电脑）。
6、%windows%\Fonts目录下的comres.dll、文件名前3个字母为ctm的文件。
7、%system%目录下文件名前3个字母为ctm的.exe文件。

请楼主帮我看下是哪些病毒，谢谢了，

附件: SREngLOG.log

又学习了,不知道我自己什么时候单独能够做作业啊!

麻烦楼主帮我看下，之前删了很多usp10.dll，现在电脑还有点不“正常”，还有瑞星主页也上不了，麻烦你帮我看下，谢谢  ！！！

附件: SREngLOG.log