瑞星卡卡安全论坛

我刚刚正在上网，开了个不知名的网页后就中毒了，迅雷正在下载东西，突然就自动关闭了，之后怎么也打不开了。而且电脑右下角的瑞星卡卡上网安全助手的标志也不见了。急求各位大虾帮我看一下sreng日志，我是一个新鸟，看不懂。我到底中了什么毒啊，该怎么办啊？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

1建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备）
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\orz.exe

2瑞星和迅雷被劫持，下载工具修复。
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625下载镜像劫持修复工具

我按照上缅甸 地址去下载XDelBox，可是下载不起啊，不只是那个，其它的东西我都不能下载了，是不是病毒的原因啊？还有我上面的sreng日志是在没有用瑞星杀毒前扫描的，现在我用瑞星杀出了两个毒，下面是我用瑞星杀了毒后扫描的sreng日志，能再帮我看一下吗？

附件: SREngLOG.log

和刚才一样，照上面的做。
迅雷被劫持，所以下不了。右键目标另存为应该可以。

日志中异常项目如下：
==================================
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]

驱动程序
[zg / zg][Running/Manual Start]
  <2 - 系统找不到指定的文件。><N/A>

正在运行的进程
[PID: 2852 / Administrator][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\orz.exe]  [N/A, ]

HOSTS 文件
127.0.0.1      v.onondown.com.cn
………………………………………………
127.0.0.1      2be37c5f.3f6e2cc5f0b.com
======================================

建议按如下步骤操作：

1、将adobe flash player activex插件升级到10以上版本；

2、断开网络连接（建议直接拔掉网线）

3、重启电脑进入安全模式，调出任务管理器，看看进程中是否有ORZ.EXE这个进程，有则结束该进程。然后运行WINRAR压缩工具，将以下文件夹下的文件和文件夹全部删除（不要删除这个文件夹本身，清空其下的文件和文件夹即可）：
C:\DOCUMENT AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\Temp

4、运行SRENG扫描工具或注册表编辑器，删除如下项目：
（1）注册表子项（建议用注册表编辑器删除）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
（2）驱动程序（建议用SRENG扫描工具删除）：
[zg / zg][Running/Manual Start]
  <2 - 系统找不到指定的文件。><N/A>

5、用SRENG扫描工具重置HOSTS文件。

6、重启电脑

7、反馈结果

我刚刚在你发帖前照着2楼的方法做了，瑞星和迅雷的映像劫持已经被删除了，瑞星也可以用了，也没有再杀出什么病毒，但是迅雷有点问题，在删除映像劫持前是打不开，现在能打开，但是打开后只相隔几秒钟它就会自动关闭了，请问是怎么回事啊？下面是我刚刚做完这一切后扫描的sreng日志，再帮我看一下好吗？

附件: SREngLOG.log

日志里没劫持项了，下一个迅雷，覆盖安装一下试试。
C:\WINDOWS\system32\ctfmon.exe这个系统文件不是原来的了，开始——运行——dllcache，在里面找到ctfmon.exe替换掉C:\WINDOWS\system32\这个里面的。
其他的按照超级游戏迷的做。

我用迅雷覆盖安装了，但是又出现了5个劫持，我把它们清除了，但是迅雷还是一打开后就自动关闭啊……怎么办啊？

新的日志

附件: SREngLOG.log

驱动程序（建议用SRENG扫描工具删除）：
[zg / zg][Running/Manual Start]
  <2 - 系统找不到指定的文件。><N/A>
先删除这个。
sreng——启动项目——服务


用xdelbox删除C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2020441


再用sreng重置一下host
sreng系统修复里面。


迅雷打不开可能是病毒还没完全删除，先看看上面的操作能不能起效果。

flash还是9e版本，溢出漏洞依然存在，看来俺又白说了……:default21:

临时文件夹里又生成了新的病毒临时文件，可能还是利用FLASH漏洞传播的。

hosts文件的内容依然有问题，没搞么？

汗汗……:default21:

http://bbs.ikaka.com/showtopic-8417665.aspx#3487007找到ctfmon.exe替换本机的，用附件的工具替换，方法里面有。


使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

C:\Documents and Settings\Administrator\Local Settings\temp\2020441
C:\Program Files\baidu\bar\baidubar.dll

删除重启后使用SREng修复下面各项：
启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

[zg / zg]    <>
[zg / zg]    <>


    系统修复－－　浏览器加载项之如下项删除：
[百度工具栏]    <C:\PROGRA~1\baidu\bar\BaiduBar.dll>


用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

adobe flash player activex插件升级下

附件: SmtRpl替换文件工具.rar

HOSTS 文件
127.0.0.1      v.onondown.com.cn
………………………………………………
127.0.0.1      2be37c5f.3f6e2cc5f0b.com
这个怎么了啊？

另外就是那个msconfig.exe，用微软的数字签名验证工具检查，显示msconfig.exe应在C:\windows\pchealth\helpctr\binaries下，但有的系统msconfig确实在system32下。

[zg / zg][Running/Manual Start]
  <2 - 系统找不到指定的文件。><N/A>

上面那个东西我用sreng找不到啊！是不是我方法不对啊？怎么回事？能不能说一下具体的步骤……谢谢

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

adobe flash player activex插件升级下
请问上面那句话是什么意思啊？

那个，上面你说的那个是什么意思啊？是说我的HOSTS 文件有问题吗还是没有问题呢？还有HOSTS 文件
是什么啊？到哪里找呢？

那个插件http://www.baidu.com/s?kw=&sc=&cl=3&tn=sitehao123&ct=&rn=&lm=&ie=&rs2=&myselectvalue=&f=&pv=&z=&from=&word=adobe+flash+player+activex这里可以下载，或者其他工具升级本机的软件，像360的软件管理等等
13L不是对你说的

那个驱动在sreng里的驱动程序里好好找找。

HOSTS这个你百度一下

瞬间就知道路径在哪了

hosts在c:\windows\system32\drivers\etc\目录

不好意思啊，这么多天了才来。12号那天我按照你方法把问题解决了。但是之后我的这个论坛的账号就出了问题了，怎么登陆都提示密码错误。隔天网费又到期了，结果到了今天终于重新上期网了，来把本贴的分给你补起。