瑞星卡卡安全论坛

删不掉啊，安全模式也不行！试了多次了，而且全盘也格过，还有，真可恨



用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; InfoPath.2)

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

还有你这个处理比麻烦，全盘感染型的，还是强感染型的。

附件: SREngLOG88888.log

C:\WINDOWS\system32\drivers\TXP1atform.exe

这个文件，用解压工具WinRAR打开文件夹，找到它复制压缩后发来

还有你其他盘的一些.exe文件找几个压缩发来，这很重要。

BMW~

是我啊，好久没来了，工作忙，师傅们大家好

好像没看见别的，都是些DLL文件

附件: TXP1atform.rar

你其他盘难道没有.exe文件？？？

其他盘没安装什么软件？？？

找找呀，哪怕是其他盘的一些安装程序啦，驱动安装文件啦什么的。

总之只要是.exe文件即可，其他盘哟

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除
（http://www.i170.com/attach/92EB2ED9-6D11-441D-8A28-2A9B08F0452E]XDelBox1.8下载)

c:\windows\fonts\gth01568.ttf
c:\windows\fonts\gth28562.ttf
c:\windows\system32\08223b03.dll
c:\windows\system32\122b901e.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\bmsg6pdmd4ht.dll
c:\windows\system32\cduauvkgy9.dll
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\efc0c52cc1.dll
c:\windows\system32\gaz2akyyg.dll
c:\windows\system32\mc2ckzuptj.dll
c:\windows\system32\qb5bkzy7vr5m.dll
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\system32\v6yj3gxacyqu.dll
c:\windows\system32\vntu2waqucza6.dll
c:\windows\system32\wf87w8xjgdw5es6tua.dll
c:\windows\system32\yp77tt3ucg74j.dll
c:\windows\system32\ys7autezqz8w.dll
c:\docume~1\bank~1.ban\locals~1\temp\elementzh.dll
c:\docume~1\bank~1.ban\locals~1\temp\tmp.tmp
c:\docume~1\bank~1.ban\locals~1\temp\wfsjowfdsaw.dll
c:\sysinit.dat
c:\docume~1\bank~1.ban\locals~1\temp\rarsfx0\fileforcekiller.dll
c:\windows\system32\updater.exe
c:\windows\system32\ufqcu5.dll

c:\program files\internet explorer\002.tmp
c:\docume~1\bank~1.ban\locals~1\temp\rarsfx0\asttools.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[updater]    <C:\WINDOWS\system32\updater.exe>
[{C722AD57-35DA-4460-8353-328372F32AB2}]    <C:\WINDOWS\system32\ufQCU5.dll>
[{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}]    <C:\WINDOWS\system32\122B901E.dll>
[{2EF0D734-21FD-4225-A1A2-BCD296182AAF}]    <C:\WINDOWS\system32\2EF0D734.dll>
[{128E2D3D-887F-4259-A416-12973362F92D}]    <C:\WINDOWS\system32\Mc2CkZupTJ.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[IFEO[修复工具.exe]]    <ntsd -d>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[qq2 / qq2]    <\??\C:\Program Files\Internet Explorer\002.tmp>
[ASTTools / ASTTools]    <\??\C:\DOCUME~1\BANK~1.BAN\LOCALS~1\Temp\RarSFX0\ASTTools.sys>


下载IFEO映像挟持修复程序http://www.kingzoo.com/bbs/attac ... fa&t=1221930665
对于映像劫持我们用工具就好下载此文件修复映像劫持：http://www.dodudou.com/down/index.php

替换
c:\windows\System32\appmgmts.dll
C:\WINDOWS\system32\COMRes.dll
去找相同系统里找到这两文件。
复制到C:\WINDOWS\system32文件夹里替换。
可以这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx
可以按照这贴进行相关文件复制粘贴替换，建议使用wsyscheck工具操作
http://bbs.ikaka.com/showtopic-8561436.aspx



下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.rar（升级后使用）

关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe

如果文件量过大

可以考虑发这里，再给我链接地址

http://www.namipan.com/index.php

因为C:\WINDOWS\system32\drivers\TXP1atform.exe文件的存在

他是中了强感染型病毒

一部分被感染的.exe文件能修复，一部分是修复后也不能运行的。

你的操作不能解决根本问题

同时你还需要将楼主所说的全格也没用的问题考虑进去。:kaka6:

http://www.namipan.com/save_fileinfo.php?info=6371789:acb9c6206cfc3bd8e3a8940541120a13d282a00ecd396100:Photoshop.rar|

传的不正确:kaka6:

明白~晕~忘了

稍等会吧，24M呢，对了，我有救吗？

当然有救了

只是你愿意试试体验一下清理这毒的过程呢？？

还是愿意再去全格？？？:kaka1:

当然是体验，以前没毒找毒试，现在哪能去格啊，我只是着急用电脑，所以昨晚格了一次

首先你必须要保证你电脑开机后，只有系统Windows文件夹内的程序可以开机自启动

其他任何文件夹以及其他盘的任何软件都不得开机自启动，这很重要。

因为一旦开机继续运行其他盘被感染的文件，那么就没办法折腾了。

你做完以后，就可以下载下面附件，然后断网操作了，注意附件必须下载在你的系统Windows文件夹内，也必须解压到Windows文件夹内，否则可能被病毒感染。

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动“木马群清理.exe”程序后，点击“开始处理”，程序将自动清除这堆木马群病毒。耐心等待程序扫描结束。

附件: 木马群清理.rar (2009-5-18 11:40:41, 784.29 K)
该附件被下载次数 216

重启电脑后需要立即用附件里的“超级巡警文件删除器”删除下面文件一次。
删除：
C:\WINDOWS\system32\drivers\TXP1atform.exe
C:\WINDOWS\system32\updater.exe
C:\WINDOWS\system32\ufQCU5.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\system32\Mc2CkZupTJ.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\E4814792.dll
C:\Documents and Settings\BANK.BANK-8A376EFD96\「开始」菜单\程序\启动\快快捷.lnk
C:\Program Files\Internet Explorer\002.tmp
C:\WINDOWS\fonts\GTH01568.ttf
C:\WINDOWS\fonts\GTH28562.tTf
C:\WINDOWS\java\classes\CLIPORV.DLL
C:\WINDOWS\fonts\GTH01568.ttf
C:\WINDOWS\fonts\GTH28562.tTf
C:\WINDOWS\system32\skcfujQ5EDN.dll
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\qB5BKZy7vR5m.dll
C:\WINDOWS\system32\ys7auTeZqZ8W.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\yp77Tt3UCG74J.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\BMsg6pdMD4ht.dll
C:\WINDOWS\system32\VnTU2WAqUcZA6.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\GaZ2AKyYG.dll
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\system32\v6yj3gxacYQU.dll
C:\WINDOWS\system32\wF87W8XjgDW5Es6tuA.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\system32\Mc2CkZupTJ.dll
C:\DOCUME~1\BANK~1.BAN\LOCALS~1\Temp\tmp.tmp
C:\WINDOWS\fonts\GTH01568.ttf
C:\WINDOWS\fonts\GTH28562.tTf
C:\DOCUME~1\BANK~1.BAN\LOCALS~1\Temp\wfsjowfdsaw.dll
C:\DOCUME~1\BANK~1.BAN\LOCALS~1\Temp\elementzh.dll
C:\sysinit.dat
C:\WINDOWS\system32\ys7auTeZqZ8W.dll
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\skcfujQ5EDN.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\yp77Tt3UCG74J.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\BMsg6pdMD4ht.dll
C:\WINDOWS\system32\v6yj3gxacYQU.dll
C:\WINDOWS\system32\wF87W8XjgDW5Es6tuA.dll
C:\WINDOWS\system32\2EF0D734.dll

不论删除结果如何，再次重启电脑。

愿意的话，可以继续使用附件内的费尔删除工具，抑制再生删除一次这个C:\WINDOWS\system32\drivers\TXP1atform.exe文件，不论删除结果如何，继续下面的操作。

用附件里的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。

用附件里的“垃圾文件清理工具”清理系统。（有操作说明）

下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记住你必须要保证你电脑开机后，只有系统Windows文件夹内的程序可以开机自启动
其他任何文件夹以及其他盘的任何软件都不得开机自启动，这很重要。
因为一旦开机继续运行其他盘被感染的文件，那么就没办法折腾了。

还有不论何时，你进系统后都不能打开任何磁盘，不能使用其他盘任何文件。

清理完病毒后，你如果原杀毒软件安装在其他盘，必须在清理病毒前先卸载，清理完病毒后，去下载免费30天的全功能瑞星杀毒软件，安装后升级最新版本全盘杀毒

http://all.rising.com.cn/download/transfer.asp?ver=COMFREE

http://www.namipan.com/d/2aff5f44541f9183cd8850c28eed555c634aa5f783fa7b01

因为你曾经全格，所以我无法知道时因为你又使用了原机文件导致反复中毒

还是你又去了自以为没毒的网站又感染病毒

更无法知道是否局域网其他电脑影响

建议你一定要开启瑞星安全软件的arp防火墙

并详细描述全格后做什么事导致你又中毒。

您分析一下，我有事，不好意思，下午四点再找您！万分感谢~

没别的了，就我说的操作吧

你上传的其他文件，瑞星也能检测到感染，只是会删除被感染的.exe文件，可能是没法修复的感染的。

只有放弃其他盘检测到的被感染的程序了

只是后面为.EXE的文件会丢吗？像OFFICE办公类文件会感染吗？请教！还有我想装个影子系统，硬盘什么时候得换一次？如果不小心硬盘坏了，数据有办法修复吗？

1、只是后面为.EXE的文件会丢吗？像OFFICE办公类文件会感染吗？

这个你只有等瑞星升级后扫描看了，OFFICE办公类文件好象不会被感染，我没去实际测试过这病毒。

2、装个影子系统，硬盘什么时候得换一次？

这个好象不太可能导致硬盘彻底损坏吧。只是会概率性的一年偶尔丢失一两次文件而已，并且丢失的也不算多，一两个文件而已，例如你今天做个Word文档，可能电脑重启后，明明是文件放在不保护的区的，但是文件竟然还是没了。

3、如果不小心硬盘坏了，数据有办法修复吗？

这个人恢复也能将就，一般真要出问题，建议花钱专业恢复为好。

偶尔会丢一两份？我的天了，那可不行，真烦人！我现在在下载瑞星，好久没用了，现在下载也好慢啊！版主真是辛苦，大热天的！请你喝口水，谢谢！

关于系统安全，实在折腾不了更多的

就看看我签名处吧

至少安全性会大大提高的，只是需要你自己有耐心了

目前网络中只有两位有耐心问我。

.再次补习。。我记得这种应该是2年前的病毒了吧？是新木马download下来的？如果是，可能你感染的exe文件就会被杀，不知道瑞星会不会这么彻底。去年好像有种病毒会改office文件名，变成8位数字和字母组合的未定文件类型。小心别误删，这病毒具体怎么回事我也没搞清。期待再次补习，这个案例不错:kaka1:

？？？我说的有问题？我确实当初没怎么弄明白，你要是能帮我重新认识一下就太好了

:kaka12: 不是的，我说我自作聪明了，做了一件笨事情