瑞星卡卡安全论坛

   
 附件: 您所在的用户组无法下载或查看附件我朋友的电脑在浏览几个网页后在桌面上出现黄色不雅图片，（该电脑上安装卡巴杀软和360浏览器、监控设备等），既影响监控画面观看又很不雅观，删除时与360浏览器关联，使用多种方法不能去除。后用sreng和hijackthis修复并扫描，现将扫描结果附上请各位高手老师给与指点啊！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; CNCDialer)

附件: SREngLOG.log

附件: hijackthis.log

为何无法下载或查看附件?好呆也是4年多的用户啦

这个只和论坛级别有关，多多发帖回帖，级别高了就可以下，不过最好不要随意下载样本文件，容易导致机器中毒

进注册表，搜索下面的东东，删除掉
[7555网址导航]
  {317FE61A-17FC-4817-9143-3E93FA9D39A1} <http://www.7555.com/?ie, N/A>
[极速网络影视]
  {317FE61A-17FC-4817-9143-3E93FA9D39A3} <C:\Program Files\SWTV\SWTV.EXE, >
[淘宝网]
  {380CD508-AB3A-46E0-B73A-44F04D253981} <http://www.shop991.com/?ie, N/A>
[GOOGLE搜索]
  {4A8FDCAB-4EAA-4D1E-8C3A-A5347339152B} <http://www.11k2.cn/google/?ie, N/A>
[好玩小游戏]
  {57933805-E0DF-433B-9FFC-AD5873EA8396} <http://www.kk126.com/?ie, N/A>
[百度搜索]
  {80C1A71F-014E-4EA6-BA92-CB3C800D4F77} <http://www.11k2.cn/baidu/?ie, N/A>
[]

如果出问题之前安装了什么软件，卸载掉这些软件

在c盘搜索下面的文件
C:\WINDOWS\system32\MyGina.dll
上传样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心为：http://mailcenter.rising.com.cn/uploadnew.aspx

C:\WINDOWS\system32\ReBootFilmServer.exe
C:\WINDOWS\system32\MyGina.dll
发到可疑文件交流区

:kaka12: 谢谢各位无私帮助，试后在说。

  按4楼、5楼两位老师的指导操作后，图片依然弹出但可以删除了。可疑文件及电脑现状详情见附件

附件: SREngLOG3.log

附件: SREngLogEm.LOG

附件: MyGina.rar

附件: SREngLOG3.log

附件: SREngLogEm.LOG

该用户帖子内容已被屏蔽

看不到附件的原因可以看看3楼

[ReBootFilmServer / ReBootFilmServer][Running/Auto Start]
  <C:\WINDOWS\system32\ReBootFilmServer.exe><N/A>
[7555网址导航]
  {317FE61A-17FC-4817-9143-3E93FA9D39A1} <http://www.7555.com/?ie, N/A>
[极速网络影视]
  {317FE61A-17FC-4817-9143-3E93FA9D39A3} <C:\Program Files\SWTV\SWTV.EXE, >
[淘宝网]
  {380CD508-AB3A-46E0-B73A-44F04D253981} <http://www.shop991.com/?ie, N/A>
[GOOGLE搜索]
  {4A8FDCAB-4EAA-4D1E-8C3A-A5347339152B} <http://www.11k2.cn/google/?ie, N/A>
[好玩小游戏]
  {57933805-E0DF-433B-9FFC-AD5873EA8396} <http://www.kk126.com/?ie, N/A>
[百度搜索]
  {80C1A71F-014E-4EA6-BA92-CB3C800D4F77} <http://www.11k2.cn/baidu/?ie, N/A>
[]
  {01443AEC-0FD1-40FD-9C87-E93D1494C233} <, >
[]
  {1E61ED7C-7CB8-49D6-B9E9-AB4C880C8414} <, >
[]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <, >
[]
  {219C3416-8CB2-491A-A3C7-D9FCDDC9D600} <, >
[&Windows Live Toolbar]
[]
  {29CF293A-1E7D-4069-9E11-E39698D0AF95} <, >
[]
  {317FE61A-17FC-4817-9143-3E93FA9D39A1} <, >
[]
  {317FE61A-17FC-4817-9143-3E93FA9D39A3} <, >
[]
  {380CD508-AB3A-46E0-B73A-44F04D253981} <, >
[]
  {4A8FDCAB-4EAA-4D1E-8C3A-A5347339152B} <, >
[]
  {4E8A5278-C04E-4FE3-BF78-8A7CCD6EF333} <,
[C:\WINDOWS\system32\MyGina.dll]  [N/A, ]
[C:\WINDOWS\system32\MyGina.dll]  [N/A, ]

以上都在清剿之列; 那个广州信息公司的监控软件是干啥的?
修复文件关联.

用SRENG删除启动项
<GinaDLL><MyGina.dll>  []
SRENG删除服务
[ReBootFilmServer / ReBootFilmServer][Running/Auto Start]
  <C:\WINDOWS\system32\ReBootFilmServer.exe><N/A>
SRENG删除驱动
[24625 / 24625][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\24625.sys><Driver>
[EagleNT / EagleNT][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\EagleNT.sys><N/A>
[WDM Driver for NV700X / SAA7134][Running/Manual Start]
  <System32\Drivers\NV700X.sys><>
[zlportio / zlportio][Stopped/Manual Start]
  <\??\D:\监控\zlportio.sys><N/A>
SRENG删除无名称浏览器加载项
删除下列加载项
[7555网址导航]
  {317FE61A-17FC-4817-9143-3E93FA9D39A1} <http://www.7555.com/?ie, N/A>
[极速网络影视]
  {317FE61A-17FC-4817-9143-3E93FA9D39A3} <C:\Program Files\SWTV\SWTV.EXE, >
[淘宝网]
  {380CD508-AB3A-46E0-B73A-44F04D253981} <http://www.shop991.com/?ie, N/A>
[GOOGLE搜索]
  {4A8FDCAB-4EAA-4D1E-8C3A-A5347339152B} <http://www.11k2.cn/google/?ie, N/A>
[好玩小游戏]
  {57933805-E0DF-433B-9FFC-AD5873EA8396} <http://www.kk126.com/?ie, N/A>
[百度搜索]
  {80C1A71F-014E-4EA6-BA92-CB3C800D4F77} <http://www.11k2.cn/baidu/?ie, N/A>

XDELLBOX删除下列文件
C:\WINDOWS\system32\ReBootFilmServer.exeC:\WINDOWS\system32\Drivers\24625.sys
C:\WINDOWS\system32\drivers\EagleNT.sys
C:\WINDOWS\System32\Drivers\NV700X.sys
D:\监控\zlportio.sysC:\WINDOWS\system32\MyGina.dll

附件: XDelBox.rar

:郁闷。用sreng、wywz、pconpoint等工具修复后短暂好转，等会故障照旧了。哪位高手给提供个好的工具啊！

我的电脑故障在各位朋友的大力帮助下已经解决了，看来SRENG等小工具还是很实用的，只是那个XDELLBOX太强悍了，使用时需要多加小心才行。再次衷心感谢各位朋友啊！