瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 瑞星监控和防火墙都启动不了
pl0okm - 2009-3-20 17:38:00
小弟电脑中病毒了,瑞星监控和防火墙都启动不了。。。。哪位大哥可以帮看看中的是什么病毒,怎么杀。。。小弟是个菜鸟。。。谢谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;  Embedded Web Browser from: http://bsalsa.com/; InfoPath.2; .NET CLR 2.0.50727)

附件: SREngLOG.log
aaccbbdd - 2009-3-20 17:41:00
机器狗
解决方法我得整理一会
aaccbbdd - 2009-3-20 17:47:00
将c:\WINDOWS\temp\Explorer.EXE改名为OK.exe
放到
c:\windows
目录

1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
使用说明:(先勾选抑制再生)删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,(在待删除文件列表里点击右键选择从剪贴板导入不检查路径,)选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

dos#ren C:\WINDOWS\ok.exe Explorer.EXE
c:\windows\temp\temp~01.exe
c:\windows\system32\ufofly32.dll
c:\progra~1\snav\snav.dll
c:\windows\fonts\btwdnfcr.dll
c:\windows\fonts\cuazzjsv.dll
c:\windows\fonts\grhmeniw.dll
c:\windows\fonts\hvevsexc.dll
c:\windows\fonts\ishwfpct.dll
c:\windows\fonts\lknisneu.dll
c:\windows\fonts\lnyvvslo.dll
c:\windows\fonts\oxduydro.dll
c:\windows\fonts\qerrunvs.dll
c:\windows\fonts\rljmmaqt.dll
c:\windows\fonts\uklyehyq.dll
c:\windows\fonts\xbcvcrwg.nls
c:\windows\fonts\yfrdrzle.nls
c:\windows\system32\08223b03.dll
c:\windows\system32\3vzphrhfet.dll
c:\windows\system32\91c7df6d.dll
c:\windows\system32\c7029c5d.dll
c:\windows\system32\cc0ec2c9.dll
c:\windows\system32\cc80f0b4.dll
c:\windows\system32\ufofly32.exe
c:\windows\system32\svchsot.exe
c:\windows\system32\drivers\aliimz.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[C:\WINDOWS\Fonts\cuazzjsv.dll]    <C:\WINDOWS\Fonts\cuazzjsv.dll>
[C:\WINDOWS\Fonts\lknisneu.dll]    <C:\WINDOWS\Fonts\lknisneu.dll>
[C:\WINDOWS\fonts\ishwfpct.dll]    <C:\WINDOWS\fonts\ishwfpct.dll>
[C:\WINDOWS\fonts\lnyvvslo.dll]    <C:\WINDOWS\fonts\lnyvvslo.dll>
[C:\WINDOWS\fonts\yfrdrzle.nls]    <C:\WINDOWS\fonts\yfrdrzle.nls>
[C:\WINDOWS\fonts\hvevsexc.dll]    <C:\WINDOWS\fonts\hvevsexc.dll>
[C:\WINDOWS\fonts\rljmmaqt.dll]    <C:\WINDOWS\fonts\rljmmaqt.dll>
[C:\WINDOWS\fonts\btwdnfcr.dll]    <C:\WINDOWS\fonts\btwdnfcr.dll>
[C:\WINDOWS\fonts\kjjngjwi.nls]    <>
[C:\WINDOWS\fonts\uklyehyq.dll]    <C:\WINDOWS\fonts\uklyehyq.dll>
[C:\WINDOWS\fonts\qerrunvs.dll]    <C:\WINDOWS\fonts\qerrunvs.dll>
[C:\WINDOWS\fonts\xbcvcrwg.nls]    <C:\WINDOWS\fonts\xbcvcrwg.nls>
[C:\WINDOWS\fonts\grhmeniw.dll]    <C:\WINDOWS\fonts\grhmeniw.dll>
[{CC80F0B4-04D7-44D0-8DB9-9109B5B72141}]    <C:\WINDOWS\system32\CC80F0B4.dll>
[{3CA7A137-35F8-46CD-B83B-534CD13D5A67}]    <C:\WINDOWS\Fonts\cuazzjsv.dll>
[{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}]    <C:\WINDOWS\Fonts\lknisneu.dll>
[{94602C15-9A4E-4C25-842A-FDF422B4556A}]    <C:\WINDOWS\fonts\ishwfpct.dll>
[{77AC4257-6781-430B-80C1-BCA6D20C950F}]    <C:\WINDOWS\fonts\lnyvvslo.dll>
[{91C7DF6D-AEF5-4136-9252-AF030D7A5931}]    <C:\WINDOWS\system32\91C7DF6D.dll>
[{C7029C5D-96D1-4FA4-A441-822BFB230785}]    <C:\WINDOWS\system32\C7029C5D.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{CC0EC2C9-432D-4DCC-91E7-A7C5CEA748D8}]    <C:\WINDOWS\system32\CC0EC2C9.dll>
[{AE4E3268-C2D5-46C6-8394-1EA605741205}]    <C:\WINDOWS\Fonts\oxduydro.dll>
[{4AF17D54-3E3F-474F-AD65-46B82EB5B8C5}]    <C:\WINDOWS\fonts\yfrdrzle.nls>
[{02E92FA2-FA16-4D55-A70F-BD4EF7B0A968}]    <C:\WINDOWS\fonts\hvevsexc.dll>
[{7B473157-ABA4-4222-8505-42F5D34EF824}]    <C:\WINDOWS\fonts\rljmmaqt.dll>
[{5A0B8C1F-115F-48AE-B52F-DDA144375324}]    <C:\WINDOWS\fonts\btwdnfcr.dll>
[{5DA78CAE-51BC-4A36-85BC-18CC640AAAC9}]    <>
[{42B244BB-E8F8-4878-B4BC-BFC602FC1D3A}]    <C:\WINDOWS\system32\3VzPhrhFET.dll>
[{8FF71D28-9FC0-4D5D-9FF1-6E24F96DE4B7}]    <C:\WINDOWS\fonts\uklyehyq.dll>
[{7E94C114-C874-4112-9922-054D8E5546E2}]    <C:\WINDOWS\fonts\qerrunvs.dll>
[{7B4D8F7E-8FC3-43E6-B561-3177360395CA}]    <C:\WINDOWS\fonts\xbcvcrwg.nls>
[{C67C8E02-6444-4DA6-AA62-321AE0194DAE}]    <C:\WINDOWS\fonts\grhmeniw.dll>
[nwiz]    <ufoFly32.exe>
  启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务)

[KKCC / KKCC]    <C:\WINDOWS\system32\svchsot.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[aliimz / aliimz]    <System32\Drivers\aliimz.sys>

    系统修复-- 浏览器加载项之如下项删除:
[JsObject Class]    <C:\PROGRA~1\snav\Snav.dll>
backway - 2009-3-20 18:01:00
explorer应该在%windir%下吧?
日志里有2个explorer.exe进程,%windir%下还有 应该是不正常的。
pl0okm - 2009-3-20 18:06:00
用XDelBox删除文件时找不到
C:\WINDOWS\system32\ok.exe Explorer.EXE
c:\windows\system32\ufofly32.dll
c:\windows\system32\drivers\aliimz.sys
能不管这三个文件直接进行重启删除吗?
aaccbbdd - 2009-3-20 18:06:00
谢谢提醒
已改正
pl0okm - 2009-3-20 18:08:00
用XDelBox删除文件时找不到
C:\WINDOWS\system32\ok.exe Explorer.EXE
c:\windows\system32\ufofly32.dll
c:\windows\system32\drivers\aliimz.sys
能不管这三个文件直接进行重启删除吗?
aaccbbdd - 2009-3-20 18:10:00
???
什么意思?



看3楼重新操作吧
刚刚弄错了
pl0okm - 2009-3-20 18:13:00
就是从剪贴板导入时
C:\WINDOWS\ok.exe Explorer.EXE
c:\windows\system32\ufofly32.dll
c:\windows\system32\drivers\aliimz.sys
这三个文件不存在
超级游戏迷 - 2009-3-20 18:14:00
c:\progra~1\snav\snav.dll

楼主有否安装网吧计费软件?这个俺不是很确定……
pl0okm - 2009-3-20 18:16:00
我的是家用机。。
aaccbbdd - 2009-3-20 18:18:00


引用:
原帖由 pl0okm 于 2009-3-20 18:13:00 发表
就是从剪贴板导入时
C:\WINDOWS\ok.exe Explorer.EXE
c:\windows\system32\ufofly32.dll
c:\windows\system32\drivers\aliimz.sys
这三个文件不存在


pl0okm2 - 2009-3-20 19:12:00
额。。。这号是pl0okm的马甲,原先还有个pl0okm1的,不知道为什么退出后再进时输入用户名就不存在了(用相同的用户名还能注册)。。。。

额。。。跑题了。。。

问下:
  启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务)
[KKCC / KKCC]    <C:\WINDOWS\system32\svchsot.exe>

这项服务我找不到。。。不知道有没有事。。。。


这是清理完的报告,麻烦各位大大再帮忙看一下还有没有事,小弟在这先说声谢谢~

附件: SREngLOG2.log
pl0okm2 - 2009-3-20 19:25:00
上面的不用看了,该死的病毒又重生了。请问还是像原来一样删文件吗?
aaccbbdd - 2009-3-20 19:29:00
使用附件粉碎
C:\WINDOWS\Explorer.EXE粉碎
然后将
http://bbs.ikaka.com/showtopic-8417665.aspx
3楼里的Explorer.EXE解压到c:\WINDOWS目录

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

附件: c-_j_-x-_j.rar
pl0okm2 - 2009-3-20 19:39:00
然后呢?
aaccbbdd - 2009-3-20 19:40:00
清理助手下载
安装后,升级清理助手,完整扫描
扫个尾
pl0okm2 - 2009-3-20 19:44:00
能斩草除根吗?
backway - 2009-3-20 19:47:00
文件还没删完
XueTr0.22.zip 的文件里找到下列文件选择强制删除。

C:\WINDOWS\TEMP\EXPLORER.EXE
c:\windowsupdate.dll


附件里的文件解压后运行那个bat文件。

附件: explorer.rar
aaccbbdd - 2009-3-20 19:48:00
清理就是了

剩下的东东
使用清理助手多简单:default6:
backway - 2009-3-20 19:53:00
19L的不用看了 把c:\windowsupdate.dll这个文件手工删除了。
aaccbbdd - 2009-3-20 19:54:00
C:\WINDOWS\TEMP\EXPLORER.EXE
貌似是正常文件:kaka12:
backway - 2009-3-20 19:57:00
没有认证,留着没多大用处 还在进程特权扫描里
直至复制个好的explorer到windows下就行咯
那个驱动[aliimz / aliimz][Stopped/Disabled]
  <System32\Drivers\aliimz.sys><N/A>还在。
wsyscheck0223中文版.rar 的服务管理里找到aliimz 右键选择删除选中的服务与文件。
pl0okm2 - 2009-3-20 20:00:00
可是我找不到
[KKCC / KKCC]    <C:\WINDOWS\system32\svchsot.exe>
backway - 2009-3-20 20:02:00
在wsyscheck的服务管理里找到aliimz和kkcc 右键选择删除选中的服务与文件 再用windows清理助手清理下系统
aaccbbdd - 2009-3-20 20:03:00
让你用清理助手
清理下再看看:default3:
pl0okm2 - 2009-3-20 20:08:00
。。。。刷了10多分钟还在刷c盘。。。。慢。
aaccbbdd - 2009-3-20 20:13:00
慢慢来吧
我知道确实是慢:default2:

可能安全模式会快点的
pl0okm2 - 2009-3-20 20:24:00
趁现在整理一下杀毒过程,大侠们帮看看用没有什么错误。。。
按照3楼清理——清理时未找到[KKCC / KKCC]    <C:\WINDOWS\system32\svchsot.exe>——清理完后重启电脑—— 一切貌似正常——病毒重生(貌似是完全的),瑞星关闭——粉碎C:\WINDOWS\Explorer.EXE并将15楼给的网址中的xpsp3正常系统文件备份.zip里的Explorer.EXE解压到c:\WINDOWS目录——删除[KKCC / KKCC]    <C:\WINDOWS\system32\svchsot.exe>和[aliimz / aliimz][Stopped/Disabled]
  <System32\Drivers\aliimz.sys><N/A>——现在正用清理助手。。。。

话说还在刷C盘。。。。看来今天晚上就耗在这了。。。。-_-||||||
backway - 2009-3-20 20:37:00
汗 你再扫份sreng日志我看看吧 看到你这个小问题都折腾了3页 我感到惭愧了:default3:
12
查看完整版本: 瑞星监控和防火墙都启动不了
© 2000 - 2025 Rising Corp. Ltd.