瑞星卡卡安全论坛

中了病毒群，大概有32个病毒，还有修改核心程序的病毒。后门木马。

瑞星可以查杀，但重启后马上又有了。安全模式也杀不了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件: SREngLOG.log

在普通模式下。网站打不开，瑞星打不开。

专家们麻烦给看看，什么厉害病毒了。。。。

http://dl.rising.com.cn/DownLoadInfo/2008-06-18/1213783336d47779.shtml
下载这个专杀扫描病毒。

这个用了，，第三步就变成蓝屏，然后好多英文

在安全模式下试试。

超麻烦的毒

你是Windows XP SP3系统

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动“木马群清理.exe”程序后，点击“开始处理”，程序将自动清除这堆木马群病毒。耐心等待程序扫描结束。

附件: 木马群清理.rar (2009-5-29 18:38:37, 629.80 K)
该附件被下载次数 247

重启电脑后需要立即用附件里的“超级巡警文件删除器”删除下面文件一次。
删除：
C:\WINDOWS\Registration\runauto.vbs
c:\windows\system32\ctfmon.vbs
C:\WINDOWS\Downlo~1\9afb.dll
C:\WINDOWS\fonts\nwxnPvr8xG.fon
C:\DOCUME~1\私人地带\LOCALS~1\Temp\cqjg29.dll
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\Fonts\EBFE20FA.EXE
C:\WINDOWS\system32\ardb.exe
C:\WINDOWS\system32\t.exe
C:\WINDOWS\system32\2.exe
C:\WINDOWS\System32\ntext\Winspool
C:\WINDOWS\3d9c86a8.dat
C:\WINDOWS\system32\drivers\qtdwu.sys
C:\DOCUME~1\私人地带\LOCALS~1\Temp\~2a919b.tmp
C:\WINDOWS\system32\56n6.dll
C:\WINDOWS\fonts\GTH13583.dll
C:\WINDOWS\fonts\GTH60455.dll
C:\WINDOWS\fonts\GTH66455.dll
C:\WINDOWS\fonts\GTH68455.dll
C:\WINDOWS\fonts\GTH70455.dll
C:\WINDOWS\fonts\GTH73456.dll
C:\WINDOWS\fonts\GTH75458.dll
C:\WINDOWS\fonts\GTH86457.dll
C:\WINDOWS\fonts\GTH97455.dll
C:\DOCUME~1\私人地带\LOCALS~1\Temp\cqjg29.dll
C:\WINDOWS\system32\she32.dll
C:\WINDOWS\Tasks\9afb.job
C:\WINDOWS\Tasks\9afac.job
C:\WINDOWS\system32\ntext\winsock2.dll

不论删除结果如何，再次重启电脑。

用附件里的“垃圾文件清理工具”清理系统。（有操作说明）

因为C:\WINDOWS\system32\ntext\winsock2.dll文件的影响，在删除它以后，你可能不能再连网了。

所以你必须去：
在扫日志的SRENG工具》系统修复》高级修复》修复安全模式

再进安全模式下：
在扫日志的SRENG工具》系统修复》高级修复》重置Winsock

如果修复不能成功，那么极可能就无法连网了。那时我就没办法再帮你了。

下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

如果你愿意的话

请下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\system32\userinit.exe
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\Registration\runauto.vbs
c:\windows\system32\ctfmon.vbs
C:\WINDOWS\Downlo~1\9afb.dll
C:\WINDOWS\fonts\nwxnPvr8xG.fon
C:\DOCUME~1\私人地带\LOCALS~1\Temp\cqjg29.dll
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\Fonts\EBFE20FA.EXE
C:\WINDOWS\system32\ardb.exe
C:\WINDOWS\system32\t.exe
C:\WINDOWS\system32\2.exe
C:\WINDOWS\System32\ntext\Winspool
C:\WINDOWS\3d9c86a8.dat
C:\WINDOWS\system32\drivers\qtdwu.sys
C:\DOCUME~1\私人地带\LOCALS~1\Temp\~2a919b.tmp
C:\WINDOWS\system32\56n6.dll
C:\WINDOWS\fonts\GTH13583.dll
C:\WINDOWS\fonts\GTH60455.dll
C:\WINDOWS\fonts\GTH66455.dll
C:\WINDOWS\fonts\GTH68455.dll
C:\WINDOWS\fonts\GTH70455.dll
C:\WINDOWS\fonts\GTH73456.dll
C:\WINDOWS\fonts\GTH75458.dll
C:\WINDOWS\fonts\GTH86457.dll
C:\WINDOWS\fonts\GTH97455.dll
C:\DOCUME~1\私人地带\LOCALS~1\Temp\cqjg29.dll
C:\WINDOWS\system32\she32.dll
C:\WINDOWS\Tasks\9afb.job
C:\WINDOWS\Tasks\9afac.job
C:\WINDOWS\system32\ntext\winsock2.dll

不论提取结果如何，压缩发来看看

我试试

超级巡警删除时直接出问题

Ar-ti Spy-Ware  to-lokit  F-ile  For-ce  KIL-Ler 遇到问题需要关闭。

换工具试试
①Xdelbox
http://bbs.ikaka.com/attachment.aspx?attachmentid=446806

②EasyDelete
http://bbs.ikaka.com/attachment.aspx?attachmentid=459970

使用前先运行这个
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625

我就把电脑砸了。。。

还有5个病毒，反反复复的生成。。。

还有两个试图修改 注册表的程序。

高手们，别下班啊。。。

卡卡重置ISP

WINSOCK  提供者重置功能操作失败

卡卡的ISP是什么

马后炮：

作为后手，我习惯将某些关键注册表项导出：





需要时，比用种种工具直接，且简单。一般不会“失败”。

你给他发上来个reg吧:kaka6:

详细的个解决办法吧，，老大们

有的病毒群會在安全模式下也同樣起作用的。建議用winpe引導殺毒光盤。由PE系统引导进入，直接使用瑞星杀毒软件进行杀毒。比较适合那些杀毒软件无法打开，病毒反复查杀但删除不干净等情况。

http://bbs.ikaka.com/showtopic-8442813.aspx

10楼winsock  lsp修复工具下载修复吧

实在不行，就先修复安全模式，然后进安全模式下修复winsock  lsp修复

上最新SRENG日志来看

实际上我原本不是就告诉你了嘛

受病毒影响，后期处理后，就可能出现不能连网的问题的。

修复的操作不是也告诉你了嘛。

我也是按照你所的修复方法做真的，但所有修复都失败，而且好多注册表也被修改了，无法修复，

附件: SREngLOG.log

瑞星工程师19：1、文件名：winsock2.dll

  病毒名：AdWare.Win32.Undef.eww

2、文件名：qtdwu.sys

  病毒名：RootKit.Win32.Undef.cfk

3、文件名：rpcss.dll
  不是病毒

4、文件名：userinit.exe
  不是病毒

5、文件名：COMRes.dll
  不是病毒


您所上报的病毒文件将在瑞星2009的21.32.20版本(瑞星2008的20.99.20版本)中处理解
决。


附件: 备份文件夹.rar

这几个文件，必须删除，我置顶工具贴很多删除工具，去找找吧。

C:\WINDOWS\system32\drivers\qtdwu.sys
C:\WINDOWS\system32\56n6.dll
C:\WINDOWS\system32\dpuG.dll
C:\WINDOWS\system32\ntext\winsock2.dll
c:\windows\system32\ntext\winspool.dll


这下面这项看，你必须修复Winsock成功，否则没人能帮得了你
==================================
Winsock 提供者
MSAFD Tcpip [TCP/IP]
    C:\WINDOWS\system32\ntext\winsock2.dll( Microsoft Corporation, winsock2)
MSAFD Tcpip [UDP/IP]
    C:\WINDOWS\system32\ntext\winsock2.dll( Microsoft Corporation, winsock2)
MSAFD Tcpip [RAW/IP]
    C:\WINDOWS\system32\ntext\winsock2.dll( Microsoft Corporation, winsock2)
RSVP UDP Service Provider
    C:\WINDOWS\system32\ntext\winsock2.dll( Microsoft Corporation, winsock2)
RSVP TCP Service Provider
    C:\WINDOWS\system32\ntext\winsock2.dll( Microsoft Corporation, winsock2)

你到底有没有去安全模式下操作？？？

可惜我实在没有关于XPsp3系统内的Winsock项目的注册表文件，要不导入的话，应该可以的。

去工具贴内找Wsyscheck工具

在安全检查项》常规检查》WinSock查看中，右键菜单选择“备份WinSock”，再继续右键菜单选择“修复WinSock”

电脑连系统都进不去了，保持蓝屏不动了。

开机按F8
最后一次的正确配置

呵呵！！

我不是说很难帮你的嘛

这玩意搞得太狠了

实在没法去找那么多东西，一点一点恢复被病毒破坏的项目

这些东西，你不处理，系统就能用，你处理病毒文件，系统就异常，好烦的。

试试安全模式呢？？？，最后一次正确配置呢？？？

我是无奈的了。:kaka6:

都不能用