瑞星卡卡安全论坛

请高手帮我。谢谢了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

我之前电脑一直在中“pecompact2x”这个病毒，不断的杀，不断的清楚，但一直存在。昨天进安全模式彻底又杀了一次。今天开机杀毒后，就出现了这个。
现在电脑经常自动弹出广告页面。
中毒实在很郁闷，请帮我一下

按版规上传SRENG日志

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

感谢大家，我现在就来扫描，请各位高手稍等

日志已经上传！！！

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\downlo~1\6ccb.dll
c:\windows\system32\e6fe.dll
c:\windows\system32\efkc.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[6ccb]    <rundll32 "C:\WINDOWS\Downlo~1\6ccb.dll",Run>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[OSEvent / OSEvent]    <C:\WINDOWS\system32\t.exe>
[EllfBin / EllfBin]    <C:\WINDOWS\system32\esce.exe>


[TPPWRIF / TPPWRIF]    <System32\drivers\Tppwrif.sys>

    系统修复－－　浏览器加载项之如下项删除：
[Invoke Class]    <C:\WINDOWS\system32\e6fe.dll>
[Invoke Class]    <C:\WINDOWS\system32\efkc.dll>

各位高手，有查出问题吗？在线等。
先谢谢了

你先试试
不行在跟帖:default6:

好的。先谢谢。我现在立刻来试一下

把C:\WINDOWS\system32\t.exe也用上面的工具删掉
进入C:\Windows\tasks删除
6ccb.job
6ccac.job

[OSEvent / OSEvent]    <C:\WINDOWS\system32\t.exe>
[EllfBin / EllfBin]    <C:\WINDOWS\system32\esce.exe>
对应文件压缩
发到可疑文件交流区

使用XDelBox删除文件的时候出现了问题。
情况是这样的：我按照步骤进入到“选择立刻重启删除，电脑会重启进入DOS界面进行删除操作”这一步的时候，电脑重起了，然后也进入DOS状态了，然后运行了，然后电脑就黑屏，但电脑显示仍然在运行，并没有关机（我是笔记本）。等了很久，也不见动静。

这是怎么情况呢？

是指要我把t.exe    esce.exe  这两个文件打个包，然后发到可疑文件交流区里面去吗？

问题好象还是没彻底解决。
我按照之前几位高手教的做了，唯一的一点疑问就是在使用XDelBox的时候，电脑进入到DOS里后，进入到“DELETE FILES……”这个页面后，我按ENTER后，就会黑屏，类似电脑假关机状态。然后我手动关机，再开机，继续完成剩余步骤。

我将我最新的日志扫描文件发上来了，请各位好心的高手再看看吧

附件: SREngLOG-2.log

找到文件所在路径用金山清理专家在线系统诊断提取样本粉碎掉

系统修复－－　浏览器加载项之如下项删除：
[Invoke Class]
  {C9E9F0D9-1D58-4764-8EA2-D8EE48E53C89} <C:\WINDOWS\system32\5ex8.dll, N/A>

对于文件
可以使用天月来了顶置帖里的东东

好象问题还没彻底解决。。。。。

？
瑞星还报毒？

瑞星正在杀毒ing。
但是电脑现在仍然会自动弹出网页。。。。比如：起点中文网，宝马汽车广告，某某大型游戏广告等等

:kaka6:

1.停止瑞星杀毒
2.下载大蜘蛛
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

断网杀毒

:default5: :default5: 添加到文件粉碎机试一下，有时候SRENG日志也不一定能的

可以先用我上传的批处理工具进行垃圾清理和自动关闭多余启动项，再用WYWZ工具——全部打狗——3次全面清理（高强度清理痕迹），如果有时间可以选择插件模式清除——下方所有勾打上自定义1次清理（时间较长，但能清理系统盘中各文件内部的沉余垃圾，完成后需要重启系统），完成后运行优化小工具中的系统DIY1.6，进行系统优化（按照个人需求所定，每个人都看的懂的），优化后用它自带的修复工具全面修复一次，接下来用PCONPOINT进行注册表的清理（压缩包里有注册文件，导入即可注册）
上述完成后用SRENG——系统修复——高级修复——高强度修复级别——自动修复
全部完成后重启系统，再扫描一份日志上来，如果还有问题详细说明是开机弹出广告还是某些网页自动弹出广告

附件: 批处理工具.rar

附件: wywz.rar

附件: 优化小工具.rar

附件: PConPoint.rar

好的。我来尝试一下。
哎，心里8凉8凉的。
昨天晚上看了315晚会，说很多黑客就攻击电脑，搞个人信息资料拿出去卖，真是黑良心啊。

用了你说的办法，中间出现了一个小问题，优化小工具中的系统DIY1.6 这个小工具无法打开，显示的是这样的提示：

于是我就跳过了这一步，直接进入到了PConPoinT这个里面进行操作。然后用sreng2进行高强度修复。重起后有扫描了一次日志。

我的广告弹出页面是属于电脑运行过了一段时间才会弹出来。不是开机就弹出。而且根据我的观察，通常都是我打开IE浏览器，比如遨游后，它过段时间就会弹出广告页。

各位高手请继续帮我。谢谢了！！

附件: SREngLOG.log

忘记说了，弹出的页面我打开任务管理器后，在弹出的那个页面上右键“转到进程”里后，发现对应的程序是rundll32.exe。关闭了这个程序后，弹出的页面也就自动关闭了

在弹网页的同时，扫描SRENG日志来看

刚才上传的日志就是在刚刚弹了广告页的时候扫描的

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\Downlo~1\6ccb.dll
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\esce.exe
C:\WINDOWS\system32\t.exe
C:\WINDOWS\system32\wingelu.dll
C:\WINDOWS\system32\5ex8.dll
C:\WINDOWS\Downlo~1\6ccb.dll
C:\WINDOWS\system32\68uf.dll
C:\WINDOWS\TEMP\cml6.tmp
C:\WINDOWS\Tasks\6ccb.job
C:\WINDOWS\Tasks\6ccac.job

不论提取结果如何，压缩发来看看

———————————————————————
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\Downlo~1\6ccb.dll
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\esce.exe
C:\WINDOWS\system32\t.exe
C:\WINDOWS\system32\wingelu.dll
C:\WINDOWS\system32\5ex8.dll
C:\WINDOWS\Downlo~1\6ccb.dll
C:\WINDOWS\system32\68uf.dll
C:\WINDOWS\TEMP\cml6.tmp
C:\WINDOWS\Tasks\6ccb.job
C:\WINDOWS\Tasks\6ccac.job

不论删除结果如何立即重启电脑，看情况如何。