急！！。中病毒了..开了不了瑞星杀病毒。。救命啊 bbs.ikaka.com

hhj8jhh - 2009-2-1 12:30:00

我用了木马群专杀工具专杀，但是用完后还是用不了瑞星。。怎么办..请各位指点

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; MAXTHON 2.0)

古涛名 - 2009-2-1 12:33:00

瑞星被损坏了吗

hhj8jhh - 2009-2-1 12:34:00

应该是吧.用了木马群专杀工具专杀,安全环境都建立了还打不开

古涛名 - 2009-2-1 12:36:00

http://www.kztechs.com/sreng/download.html
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件

hhj8jhh - 2009-2-1 12:39:00

谢谢。附件好了

附件: SREngLOG.log

aaccbbdd - 2009-2-1 13:00:00

急需样本
C:\WINDOWS\system32\55555555555.exe
文件
发到可疑文件交流区

hhj8jhh - 2009-2-1 13:01:00

是怎么回事?..

hhj8jhh - 2009-2-1 13:03:00

引用:

原帖由 aaccbbdd 于 2009-2-1 13:00:00 发表
急需样本
C:\WINDOWS\system32\55555555555.exe
文件
发到可疑文件交流区

他说不支持上传拓展文件

aaccbbdd - 2009-2-1 13:09:00

参见
http://bbs.ikaka.com/showtopic-8417665.aspx
3楼替换本机Explorer.EXE
替换方法：
http://bbs.ikaka.com/showtopic-8561436.aspx
1楼

必须成功替换
否则以下操作无效
1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\fonts\bnnqcabm.dll
c:\windows\fonts\nffgzijk.dll
c:\windows\fonts\rxagbwpw.dll
c:\windows\system32\epsoyepm.dll
c:\windows\system32\winlib .dll
c:\docume~1\com\locals~1\temp\~rs.tmp
c:\windows\fonts\obutweci.dll
c:\documents and settings\all users\application data\microsoft\office\userdata\webbrowser_2021.dll
c:\windows\system\nbhsyh32b.dll
c:\windows\system32\keepsafe.exe
c:\program files\setup1538.exe
C:\autorun.inf
D:\autorun.inf
E:\auto.exe
D:\auto.exe
c:\windows\system32\55555555555.exe
c:\windows\system32\xjhkpiwg.dll
c:\windows\system32\jkkciong.dll
c:\windows\system32\ohjmjecj.dll
c:\windows\system32\mmjalklm.dll
c:\windows\system32\ilknjlmd.dll
rundll32.exe c:\windows\system\zhnahsdf090101c.dll a16zhqb
c:\program files\setup1538.exe
c:\windows\fonts\nffgzijk.dll
c:\windows\system32\epsoyepm.dll
c:\windows\fonts\bnnqcabm.dll
c:\windows\fonts\rxagbwpw.dll
c:\windows\fonts\obutweci.dll
c:\windows\system32\rkmftqc.dll
c:\windows\system32\drivers\acpidisk.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys
c:\windows\system32\ca44a737.dat
c:\windows\downlo~1\xscan60.ocx

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[23236] <C:\WINDOWS\system32\55555555555.exe>
[55555555555] <C:\WINDOWS\system32\55555555555.exe>
[23236] <C:\WINDOWS\system32\55555555555.exe>
[{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}] <C:\WINDOWS\system32\xjhkpiwg.dll>
[344C2870] <C:\WINDOWS\system32\jkkciong.dll>
[81363EC3] <C:\WINDOWS\system32\ohjmjecj.dll>
[663A5456] <C:\WINDOWS\system32\mmjalklm.dll>
[2547356D] <C:\WINDOWS\system32\ilknjlmd.dll>
[zhqbastart] <rundll32.exe C:\WINDOWS\system\zhnahsdf090101c.dll a16zhqb>
[C:\WINDOWS\system32\xjhkpiwg.dll] <C:\WINDOWS\system32\xjhkpiwg.dll>
[TXMouie] <C:\Program Files\setup1538.exe>
[{344C2870-A4EE-4232-8948-E9D6C15925B6}] <C:\WINDOWS\system32\jkkciong.dll>
[{663A5456-42CB-45E8-AC97-01BA72782AF9}] <C:\WINDOWS\system32\mmjalklm.dll>
[{81363EC3-DEC9-4B5C-B315-2DB0212CD181}] <C:\WINDOWS\system32\ohjmjecj.dll>
[{2547356D-9EE9-4982-9F8C-BD3DB1FCBADD}] <C:\WINDOWS\system32\ilknjlmd.dll>
[{663A5456-42CB-45E8-AC97-01BA72782AF9}] <C:\WINDOWS\system32\mmjalklm.dll>
[55555555555] <C:\WINDOWS\system32\55555555555.exe>
[23236] <C:\WINDOWS\system32\55555555555.exe>
[{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}] <C:\WINDOWS\system32\xjhkpiwg.dll>
[{4B3DA347-ACBB-497B-B62F-957C4D2B46D3}] <C:\WINDOWS\Fonts\nffgzijk.dll>
[{01C52313-FF03-413E-A148-665C199D3279}] <C:\WINDOWS\system32\epsoyepm.dll>
[{A272F097-E24C-4A6E-8BCD-8C42839CE8DE}] <C:\WINDOWS\Fonts\bnnqcabm.dll>
[{4F72F83A-1C16-444C-8821-D01FF4759555}] <C:\WINDOWS\Fonts\rxagbwpw.dll>
[C:\WINDOWS\Fonts\nffgzijk.dll] <C:\WINDOWS\Fonts\nffgzijk.dll>
[C:\WINDOWS\system32\epsoyepm.dll] <C:\WINDOWS\system32\epsoyepm.dll>
[C:\WINDOWS\Fonts\obutweci.dll] <C:\WINDOWS\Fonts\obutweci.dll>
[C:\WINDOWS\Fonts\bnnqcabm.dll] <C:\WINDOWS\Fonts\bnnqcabm.dll>
[C:\WINDOWS\Fonts\rxagbwpw.dll] <C:\WINDOWS\Fonts\rxagbwpw.dll>

启动项目－－服务－－ Win32服务应用程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[Background Intelligent Transfer Service / BITS] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\RkmftqC.dll>
[Marvell Yukon Service / yksvc] <RUNDLL32.EXE ykx32mpcoinst,serviceStartProc>

启动项目－－服务－－驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[acpidisk / acpidisk] <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[wmpobj / wmpobj] <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
[Safe Mon 360 / SafeMon0] <\??\C:\WINDOWS\system32\CA44A737.dat>

系统修复－－　浏览器加载项之如下项删除：
[JavaSunSurf Class] <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2021.dll>
[HouseCall 在线扫毒] <C:\WINDOWS\DOWNLO~1\xscan60.ocx>

附件清空映像劫持项

附件: 映像劫持修复工具.rar (2009-2-1 13:11:45, 8.65 K)
该附件被下载次数 241

附件清空临时文件

附件: 清理临时文件工具ATF-Cleaner-cn.zip (2009-2-1 13:11:45, 51.31 K)
该附件被下载次数 380

aaccbbdd - 2009-2-1 13:10:00

扩展名改为rar
说明下即可

hhj8jhh - 2009-2-1 13:32:00

是替换桌面上的Explorer？

hhj8jhh - 2009-2-1 13:38:00

引用:

原帖由 aaccbbdd 于 2009-2-1 13:09:00 发表
参见
http://bbs.ikaka.com/showtopic-8417665.aspx
3楼替换本机Explorer.EXE
替换方法：
[url=http://bbs.ikaka.com/showtopic-8561436.aspx]http://bbs.ikaka.com

我的不是XP2么？

aaccbbdd - 2009-2-1 13:40:00

[CODE]

2009-02-01,12:40:27

System Repair Engineer 2.7.0.1210
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 3 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者

hhj8jhh - 2009-2-1 13:45:00

引用:

原帖由 aaccbbdd 于 2009-2-1 13:40:00 发表
[CODE]

2009-02-01,12:40:27

System Repair Engineer 2.7.0.1210
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 3 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：

这是什么

aaccbbdd - 2009-2-1 13:46:00

不是sp2
是sp3

hhj8jhh - 2009-2-1 14:05:00

删不了.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[23236] <C:\WINDOWS\system32\55555555555.exe>
[55555555555] <C:\WINDOWS\system32\55555555555.exe>
[23236] <C:\WINDOWS\system32\55555555555.exe>

这个删不了

aaccbbdd - 2009-2-1 14:50:00

新日志发上来

hhj8jhh - 2009-2-1 14:54:00

什么日志

aaccbbdd - 2009-2-1 14:55:00

sreng:default3:

hhj8jhh - 2009-2-1 14:56:00

日志

附件: SREngLOG.log

backway - 2009-2-1 14:56:00

http://www.crsky.com/soft/6947.html下载冰刃清理那个删不掉的东西后，再扫描sreng日志上传

hhj8jhh - 2009-2-1 15:06:00

没有下载地址

aaccbbdd - 2009-2-1 15:14:00

失误了
删除列表写错了

删除E盘根目录的autorun.inf
附件清空映像劫持项
没做？
病毒启动项咋的都在:default2:

hhj8jhh - 2009-2-1 15:33:00

我用了清空映像劫持项，按检查找到0项..

aaccbbdd - 2009-2-1 15:33:00

:default2: :default2:

新日志发上来

hhj8jhh - 2009-2-1 15:38:00

....................

附件: SREngLOG.log

backway - 2009-2-1 15:53:00

之前你都没做吧

建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

C:\WINDOWS\system32\aqjwiiew.dll
c:\windows\system32\drivers\acpidisk.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys
c:\windows\system32\ca44a737.dat
c:\windows\system32\drivers\pcidump.sys
E:\autorun.inf
E:\auto.exe
C:\WINDOWS\system32\explorer.exe

删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
<TXMouie><C:\Program Files\setup1538.exe> [File is missing]
<55555555555><C:\WINDOWS\system32\55555555555.exe> [File is missing]
<23236><C:\WINDOWS\system32\55555555555.exe> [File is missing]
<{9E32A24D-BEFC-4BF9-A25D-91C37CEDE61B}><> [N/A]
<{4B3DA347-ACBB-497B-B62F-957C4D2B46D3}><C:\WINDOWS\Fonts\nffgzijk.dll> [File is missing]
<{01C52313-FF03-413E-A148-665C199D3279}><C:\WINDOWS\system32\epsoyepm.dll> [File is missing]
<{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}><C:\WINDOWS\system32\xjhkpiwg.dll> [File is missing]
<{A272F097-E24C-4A6E-8BCD-8C42839CE8DE}><C:\WINDOWS\Fonts\bnnqcabm.dll> [File is missing]
<{4F72F83A-1C16-444C-8821-D01FF4759555}><C:\WINDOWS\Fonts\rxagbwpw.dll> [File is missing]
<{2547356D-9EE9-4982-9F8C-BD3DB1FCBADD}><C:\WINDOWS\system32\ilknjlmd.dll> [File is missing]
<{663A5456-42CB-45E8-AC97-01BA72782AF9}><C:\WINDOWS\system32\mmjalklm.dll> [File is missing]
<{81363EC3-DEC9-4B5C-B315-2DB0212CD181}><C:\WINDOWS\system32\ohjmjecj.dll> [File is missing]
<{344C2870-A4EE-4232-8948-E9D6C15925B6}><C:\WINDOWS\system32\jkkciong.dll> [File is missing]
<C:\WINDOWS\system32\aqjwiiew.dll><> [N/A]
<C:\WINDOWS\Fonts\nffgzijk.dll><C:\WINDOWS\Fonts\nffgzijk.dll> [File is missing]
<C:\WINDOWS\system32\epsoyepm.dll><C:\WINDOWS\system32\epsoyepm.dll> [File is missing]
<C:\WINDOWS\system32\xjhkpiwg.dll><C:\WINDOWS\system32\xjhkpiwg.dll> [File is missing]
<C:\WINDOWS\Fonts\obutweci.dll><C:\WINDOWS\Fonts\obutweci.dll> [File is missing]
<C:\WINDOWS\Fonts\bnnqcabm.dll><C:\WINDOWS\Fonts\bnnqcabm.dll> [File is missing]
<C:\WINDOWS\Fonts\rxagbwpw.dll><C:\WINDOWS\Fonts\rxagbwpw.dll> [File is missing]
<2547356D><C:\WINDOWS\system32\ilknjlmd.dll> [File is missing]
<663A5456><C:\WINDOWS\system32\mmjalklm.dll> [File is missing]
<81363EC3><C:\WINDOWS\system32\ohjmjecj.dll> [File is missing]
<344C2870><C:\WINDOWS\system32\jkkciong.dll> [File is missing]

启动项目－－服务－－驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
[acpidisk / acpidisk]
[wmpobj / wmpobj]
[Safe Mon 360 / SafeMon0]
[pcidump / pcidump]

启动项目－－服务－－ win32服务同样删除：

[Marvell Yukon Service / yksvc]

http://bbs.ikaka.com/showtopic-8417665.aspx找explorer.exe放到C:\WINDOWS\system32里

http://www.onedoo.com/tools/IFEO.rar IFEO映像劫持修复工具

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126
用W i n d o w s 清理助手，清理系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

aaccbbdd - 2009-2-1 15:59:00

方法在附件

附件: 1.txt

backway - 2009-2-1 16:04:00

忘了「开始」菜单\程序\启动\dflze.exe:default21:

那个工具可以修复镜像劫持
论坛里的那个不知道咋回事有时找不出IFEO

byxxdrls - 2009-2-1 16:15:00

[Background Intelligent Transfer Service / BITS

这服务建议修复

瑞星卡卡安全论坛