瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 电脑中毒 急急急!!!
TatsuMi - 2009-2-3 20:58:00
我的电脑开机后原来系统托盘中的瑞星狮子和盾都不见了,杀毒软件可以启动,但不能杀毒,就是在点了杀毒选项后没有任何反映,任务管理器也无法启动,在线等!!


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CNCDialer; .NET CLR 2.0.50727)
aaccbbdd - 2009-2-3 20:59:00
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
TatsuMi - 2009-2-3 21:09:00
怎么加到附件里?我不会用附件……

——————————————————————-
会了……

附件: 扫描.log
TatsuMi - 2009-2-3 21:23:00
这个问题很严重吗?
TatsuMi - 2009-2-3 21:32:00
大姐,快一点好么,我很急呀呀呀呀呀呀!!!!
pigboy - 2009-2-3 21:33:00
少等下  看下日志先:default6:
TatsuMi - 2009-2-3 21:43:00
:default87: 救救我啊!!!!
TatsuMi - 2009-2-3 21:49:00
怎么都沉默了?回天乏术了?!!!:kaka4: :kaka4:
pigboy - 2009-2-3 21:52:00
下载XDelBox删除以下文件(下载地址:http://dly2007.ys168.com)

使用说明:删除时复制所有要删除文件的路径 在待删除文件列表里点击右键选择从剪贴板导入 导入后在要删除文件上点击右键

选择立刻重启删除 电脑会重启进入DOS界面进行删除操作 运行xdelbox前最好卸载所有可移动存储介质(包括U盘、MP3、手机存储卡等)

-----------------------------------------------------
以下的删除操作都要求安全模式下进行
-----------------------------------------------------

C:\DOCUME~1\user\LOCALS~1\Temp\rsv26.tmp
C:\WINDOWS\system32\ocmmmbig.dll
C:\WINDOWS\system32\kdfcmoda.dll
C:\WINDOWS\system32\bmkiffah.dll


删除注册表启动项

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<iTudouAutoStart><; >  [N/A]
<swg><; >  [N/A]
<DAEMON Tools-2052><; >  [N/A]
<Knight V><; >  [N/A]
<NWEReboot><; >  [N/A]
<racer><; >  [N/A]
    <RTHDCPL><; RTHDCPL.EXE>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <runeip><; "C:\Program Files\Rising\AntiSpyware\rstray.exe" /startup>  []
    <StormCodec_Helper><; "D:\ANZH\Storm\Storm Codec\StormSet.exe" /S /opti>  []
    <stup.exe><; Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [File is missing]
    <yassistse><; >  [N/A]
    <YLive.exe><; >  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{8C666B20-03CE-4FFE-970D-34AF46ABBE66}><C:\WINDOWS\system32\ocmmmbig.dll>  []
    <{4DFC68DA-0FC6-40C3-9866-D28CBD855F7D}><C:\WINDOWS\system32\kdfcmoda.dll>  []
    <{B642FFA1-87FF-4110-8088-16F29D1B68F9}><C:\WINDOWS\system32\bmkiffah.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <8C666B20><C:\WINDOWS\system32\ocmmmbig.dll>  []
    <4DFC68DA><C:\WINDOWS\system32\kdfcmoda.dll>  []
    <B642FFA1><C:\WINDOWS\system32\bmkiffah.dll>  []



替换

    C:\WINDOWS\system32\UserInit.exe

修改注册表项[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kmon.dll,ocmmmbig.dll,kdfcmoda.dll,bmkiffah.dll>  [(Verified)Beijing Rising Information Technology Corporation Limited]
为 <AppInit_DLLs><kmon.dll>

删除下列驱动

[ADProt / ADProt][Stopped/System Start]
  <\SystemRoot\system32\drivers\ADProt.sys><N/A>
[nocashio / nocashio][Stopped/Manual Start]
  <system32\drivers\nocashio.sys><N/A>
[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>
[rspp / rspp][Stopped/System Start]
  <\??\C:\WINDOWS\system32\Drivers\Rspp.sys><Beijing Rising Information Technology Co., Ltd.>

删除浏览器加载项
[IE_ADS Class]
  {F8E2D735-5D21-4B00-B6DE-D82ED0CA8B63} <C:\WINDOWS\system32\yg.dll, >


下载windows清理助手修复被劫持项

http://www.arswp.com/download.html


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
    <IFEO[360safebox.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe]
    <IFEO[AntiArp.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arswp.exe]
    <IFEO[arswp.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe]
    <IFEO[AST.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe]
    <IFEO[avcenter.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe]
    <IFEO[avconsol.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe]
    <IFEO[avgnt.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DrvAnti.exe]
    <IFEO[DrvAnti.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe]
    <IFEO[EGHOST.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\filemon.exe]
    <IFEO[filemon.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe]
    <IFEO[FYFireWall.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFRing3.exe]
    <IFEO[GFRing3.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.exe]
    <IFEO[GFUpd.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe]
    <IFEO[KAVPF.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.com]
    <IFEO[KRepair.com]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]
    <IFEO[KvXP.kxp]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McNASvc.exe]
    <IFEO[McNASvc.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McProxy.exe]
    <IFEO[McProxy.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcshield.exe]
    <IFEO[Mcshield.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe]
    <IFEO[mcsysmon.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpfSrv.exe]
    <IFEO[MpfSrv.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe]
    <IFEO[Navapsvc.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]
    <IFEO[Navapw32.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe]
    <IFEO[nod32.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe]
    <IFEO[NPFMntor.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessSafe.exe]
    <IFEO[ProcessSafe.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
    <IFEO[procexp.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe]
    <IFEO[QQKav.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RawCopy.exe]
    <IFEO[RawCopy.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regmon.exe]
    <IFEO[regmon.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegTool.exe]
    <IFEO[RegTool.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
    <IFEO[rfwstub.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RStray.exe]
    <IFEO[RStray.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]
    <IFEO[rstrui.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rtvscan.exe]
    <IFEO[Rtvscan.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe]
    <IFEO[safeboxTray.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperKiller.exe]
    <IFEO[SuperKiller.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.exe]
    <IFEO[TrojDie.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\upiea.exe]
    <IFEO[upiea.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.exe]
    <IFEO[UpLive.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USBCleaner.exe]
    <IFEO[USBCleaner.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe]
    <IFEO[vsstat.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe]
    <IFEO[webscanx.exe]><ntsd -d>  [N/A]
TatsuMi - 2009-2-3 21:55:00
谢啦!!!!!我去试试!!
ASkill - 2009-2-3 22:08:00
看置顶帖 好像是那个木马群
文物2 - 2009-2-3 22:14:00
不是那个木马群,因为没有psapi和usp10.dll
aaccbbdd - 2009-2-3 22:22:00
搜索C盘外的usp10.dll
全部删除

1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\docume~1\user\locals~1\temp\rsv26.tmp
c:\windows\system32\bmkiffah.dll
c:\windows\system32\kdfcmoda.dll
c:\windows\system32\ocmmmbig.dll
c:\windows\system32\userinit.exe,
c:\windows\system32\yg.dll
kmon.dll,ocmmmbig.dll,kdfcmoda.dll,bmkiffah.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[B642FFA1]    <C:\WINDOWS\system32\bmkiffah.dll>
[4DFC68DA]    <C:\WINDOWS\system32\kdfcmoda.dll>
[4DFC68DA]    <C:\WINDOWS\system32\kdfcmoda.dll>
[8C666B20]    <C:\WINDOWS\system32\ocmmmbig.dll>
[{4DFC68DA-0FC6-40C3-9866-D28CBD855F7D}]    <C:\WINDOWS\system32\kdfcmoda.dll>
[{B642FFA1-87FF-4110-8088-16F29D1B68F9}]    <C:\WINDOWS\system32\bmkiffah.dll>
[{4DFC68DA-0FC6-40C3-9866-D28CBD855F7D}]    <C:\WINDOWS\system32\kdfcmoda.dll>
[{8C666B20-03CE-4FFE-970D-34AF46ABBE66}]    <C:\WINDOWS\system32\ocmmmbig.dll>

注意该项[AppInit_DLLs]修改:把<kmon.dll,ocmmmbig.dll,kdfcmoda.dll,bmkiffah.dll>修改为<kmon.dll>

    系统修复-- 浏览器加载项之如下项删除:
[IE_ADS Class]    <C:\WINDOWS\system32\yg.dll>
[IE_ADS Class]    <C:\WINDOWS\system32\yg.dll>

清理助手下载
安装后,升级清理助手,全盘扫描
清理百度工具条
Tatsumi_nagi - 2009-2-3 22:55:00
XDelBox打开后应该有字的按钮却没有字,怎么用?
把删除文件路径导入后提示不存在该文件,去试安全模式,可无法进入,黑屏几次后就回到最开始的开机画面,求助!
aaccbbdd - 2009-2-3 22:57:00
哪里下载的XDELBOx?
1
查看完整版本: 电脑中毒 急急急!!!
© 2000 - 2025 Rising Corp. Ltd.