瑞星卡卡安全论坛

电脑中了病毒，所有的杀毒软件都开一下之后就被关闭，专杀工具也没用，重装系统也不行，格式化C盘之后重装也不行，而且C盘还会自动生成诸如000A0E12之类的文件夹，这中的什么病毒吖！我不想整个硬盘都格式化了！跪求解决办法如下是我的系统进程截图

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把SREng.LOG以附件的形式发上来

要是Sreng.exe不能运行，直接重命名为123.bat运行

扫描完毕~附件上传了！感谢大侠的仗义相助！感激不尽~:kaka4: :kaka4:

附件: SREngLOG.log

下载大蜘蛛保存到C:\WINDOWS\
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe


把附件的userinit.exe放到C:\WINDOWS\system32\替换原来的userinit.exe
把附件的sr.sys放到C:\WINDOWS\system32\DRIVERS\

C:\WINDOWS\system32\COMRes.dll找到重命名为1.dll,把附件里的rpcss.dll放到C:\WINDOWS\system32\下.
C:\WINDOWS\system32\srsvc.dll和C:\WINDOWS\lpk.dll也用上面方法替换

下面文件用XDelBox一次性删除
(http://enao.ys168.com 下载)
复制下面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>勾选上 抑制再生==>点 右键==>选择==>立刻重启执行删除
C:\WINDOWS\system32\t311028.dll
C:\WINDOWS\system32\t320067.dll
C:\WINDOWS\system32\t329155.dll
C:\WINDOWS\system\mvscrtz.dll
C:\000A0E12\000B4B72.exe
C:\000A1E58\000A2B12.exe
C:\000D1E86\000E1B01.exe
C:\000A0E12\000E4E70.exe
C:\Documents and Settings\Administrator\Application Data\Dbg16.Sys
C:\000D0B05\000A6D13.exe
C:\WINDOWS\system\TIME.DRV
C:\000A7C88\000D2C55.exe
C:\WINDOWS\system32\D3C6A21.exe
C:\WINDOWS\system32\D8B7D05.exe
C:\WINDOWS\system32\C3C2A56.exe
C:\WINDOWS\system32\C5B6A81.exe
C:\WINDOWS\temp\b.bat
C:\WINDOWS\system32\mcdv32.dll
C:\WINDOWS\IESupe.dll

进入安全模式找到cureit.exe，启动大蜘蛛全盘查杀（遇到病毒点修复，不行在点删除）

删除注册表
    <E4D0D51><C:\WINDOWS\system32\D3C6A21.exe>  []
    <A2A8E06><C:\WINDOWS\system32\D8B7D05.exe>  []
    <C2B0D55><C:\WINDOWS\system32\C3C2A56.exe>  []
    <A6D1D02><C:\WINDOWS\system32\C5B6A81.exe>  []
    <virustrj><C:\WINDOWS\temp\b.bat>  []
    <CDBurn><%SystemRoot%\system\mvscrtz.dll>  []
    <{7A688FDC-91BA-4F61-8661-8BA8A0EEB7C9}><C:\Documents and Settings\Administrator\Application Data\Dbg16.Sys>  []

删除服务
[Network IP / Network IP][Stopped/Auto Start]
  <C:\WINDOWS\system32\logmonui.exe runsrv /name:"Network IP" /prinum:"32" /cmdline:"C:\WINDOWS\system32\mcdv32.dll"><N/A>

删除浏览器加载项
[IESupe]
  {1A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\WINDOWS\IESupe.dll, >

附件: 桌面.rar

********************************************************************
*    PLA'S Report For Your Problem [1.1.42]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010/3/8 - 21:39:17
* 报告分析作者：梅罗
* 作者邮件地址：xy5831314@163.com
* 作者其他信息：
* 报告正文开始：
********************************************************************

★ 『建议您【替换】的文件』 ★
  ☆ HELP ☆


c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\userinit.exe,
★ *********************************************** ★


★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆禁止下列服务

服务名【RpcSs】，对应文件【C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\rpcss.dll】
服务名【DcomLaunch】，对应文件【C:\WINDOWS\system32\svchost -k DcomLaunch-->C:\WINDOWS\system32\rpcss.dll】
★ *********************************************** ★


★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)
C:\WINDOWS\system32\t320067.dll
C:\WINDOWS\system32\D3C6A21.exe
C:\WINDOWS\system32\D8B7D05.exe
C:\WINDOWS\system32\C3C2A56.exe
C:\WINDOWS\system32\C5B6A81.exe
C:\Documents and Settings\Administrator\Application Data\Dbg16.Sys
C:\WINDOWS\temp\b.bat
C:\WINDOWS\system\mvscrtz.dll
C:\WINDOWS\system32\t311028.dll
C:\WINDOWS\system32\t320067.dll
C:\WINDOWS\system32\t329155.dll
C:\000A1E58\000A2B12.EXE
C:\000A7C88\000D2C55.EXE
C:\000D0B05\000A6D13.EXE
C:\000D1E86\000E1B01.EXE
★ *********************************************** ★


★ 『建议您清理的注册表项目』 ★
  ☆ HELP ☆

程序名称【E4D0D51】，映像路径【C:\WINDOWS\system32\D3C6A21.exe】
程序名称【A2A8E06】，映像路径【C:\WINDOWS\system32\D8B7D05.exe】
程序名称【C2B0D55】，映像路径【C:\WINDOWS\system32\C3C2A56.exe】
程序名称【A6D1D02】，映像路径【C:\WINDOWS\system32\C5B6A81.exe】
程序名称【{7A688FDC-91BA-4F61-8661-8BA8A0EEB7C9}】，映像路径【C:\Documents and Settings\Administrator\Application Data\Dbg16.Sys】
程序名称【virustrj】，映像路径【C:\WINDOWS\temp\b.bat】
程序名称【CDBurn】，映像路径【C:\WINDOWS\system\mvscrtz.dll】
★ *********************************************** ★


★ 告知用户的其他事项： ★

请一定要先关闭系统还原！！！！！
★ *********************************************** ★

服务名【RpcSs】，对应文件【C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\rpcss.dll】
服务名【DcomLaunch】，对应文件【C:\WINDOWS\system32\svchost -k DcomLaunch-->C:\WINDOWS\system32\rpcss.dll】
这两个服务也要停止吧？
都使用了被替换的rpcss.dll
sr.sys关闭系统还原即可~

这2个是系统服务不能停掉，指向的文件替换为正常的系统文件就可以了，sr.sys服务是停的，而且后面是N/A，所以sr.sys文件不是丢失就是被病毒删除或者替换掉了。。。

我查了一下  这两项是可以禁用的。。。

楼上的回复已经是完美的手动解决方案了
楼主如果没解决可以使用自动工具来修复解决此问题。

感谢各位大哥的热心帮助~我对电脑还是一知半解，是否可以有自动工具来解决这个问题，给个下载地址就好，ENAO2005大哥你给的附件好像少了个rpcss.dll的文件，还有就是你的空间貌似上不去呢~~那个灭杀软件我上网找了个好像用不到的样子~~~还有梅罗大哥你给的那两个地址我也是上不到的样子~~不过还是感谢两位大哥的热心帮助，如果能有个简单点的自动工具的话小弟感激不尽，手动修复我弄不懂呢~~还有就是我现在连安全模式都进不去，选了进入安全模式读取了一段文件之后就黑屏剩下光标在闪吖闪了，这是不是也是病毒影响的？

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载，

附件: 新助手.rar (2010-3-9 8:05:29, 297.83 K)
该附件被下载次数 278

将附件解压至桌面，启动里面的程序后，点击“开始处理”，然后耐心等待，程序提示重启电脑时，立即重启。

记住不要让任何安全软件影响本程序的运行。

附件内附有程序将要处理的日志中相关异常项目文本。使用附件前请查看是否程序要处理的项目有你正常的东西，如果存在正常项目，请不要使用我的附件。

本程序运行后将向系统盘根目录创建123文件夹，并在那文件夹内创建运行日志LogAction.log文件，可以查看运行情况。

愿意的话，请事后将123文件夹内的Backup文件夹压缩发到可疑文件交流区去。

进系统后下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

因为LZ之前用的专杀没用，所以请先手动按照4楼和5楼的删除，再使用专杀工具以防止被病毒屏蔽。
我也试了一下，前面的网址链接很多都不可用了。
XDelBox下载：http://www.skycn.com/soft/24833.html
超级巡警暴力删除工具下载：http://www.skycn.com/soft/42555.html

或者从这个帖子里面找：http://bbs.ikaka.com/showtopic-8442813.aspx

来自微软的文章，既然微软默认是启动自然有他的理由，另外个是系统还原的。。。
再说你把服务给停用掉，对于你删除病毒没帮助，因为你已经选择了XDELBOX或费尔强制删除文件了。。。

用sreng修复安全模式
系统修复==》高级修复==》修复安全模式

抱歉RPC那个文件漏提供了，你用天月用新工具也可以，然后用大蜘蛛全盘查杀（遇到病毒点修复，不行在点删除）

楼上的回复已经是完美的手动解决方案了
楼主如果没解决可以使用自动工具来修复解决此问题。

要先手动把病毒删了,才可以启动杀毒软件,杀毒软件有时候就是这么无助的,强的是在人的手动能力.你看下进程，看有什么多余的进程自己开启了，把他们都结束，有的删了会自己再启动，有的不会，会再启动的就继续删他，用优化大师那个查看进程的软件，把那病毒进程路径找到，然后猛的结束进程，再删除你找到的病毒文件，一般都可以了。还不行就用进程解锁来把病毒删除，下面有地址 http://news.newhua.com/news1/Teach_tools/2008/825/0882583138303771HBE98G9HA3GA9BJB613855K6C3GCI37C7E34A67.html删了后为防止复发，最好新建个文档，然后把文档名字改成和病毒一样，后缀名也要一样。

c:\windows\system32\userinit.exe

编辑清楚先

前面让替换，后面让删除，

重启删除后咋个登陆呢？

恩~受教~

呃~编辑好了 谢谢新郎哥提醒哈，漏了漏了~

感谢各位高手大哥的鼎力相助，悲剧的是小弟之前尝试手动删除的时候不知道怎么搞的重启之后就进不去系统了，逼于无奈只好重新安装，使用了版主大人的附件问题还是依旧，我想这个附件应该是针对之前的系统的，所以我只好再一次把我重装之后的SREngLOG发一次上来~还望版主大人能重新整一个附件来让小弟解决，对于论坛各位大哥的帮助小弟感激涕零~在此跪谢~~~

附件: SREngLOG.log

********************************************************************
*    PLA'S Report For Your Problem [1.1.42]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010/3/9 - 15:13:50
* 报告分析作者：梅罗
* 作者邮件地址：xy5831314@163.com
* 作者其他信息：
* 报告正文开始：
********************************************************************
★ 『建议您【替换】的文件』 ★
  ☆ HELP ☆
C:\WINDOWS\system32\DRIVERS\sr.sys（仍然是没签名的~怀疑被病毒替换掉了 ）
C:\WINDOWS\system32\mnmsrvc.exe（和上面一个同样原因）
c:\windows\system32\rpcss.dll
★ *********************************************** ★

★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)
C:\WINDOWS\system32\E6D3A71.exe
C:\WINDOWS\system32\B6C8D74.exe
C:\Documents and Settings\Administrator\Application Data\Dbg16.Sys
C:\WINDOWS\system32\t320067.dll
C:\WINDOWS\system32\t329155.dll
C:\WINDOWS\system32\t311028.dll
C:\WINDOWS\lpk.dll（这个正常路径是在C:\WINDOWS\system32下，这个删除，然后替换一个到正常路径下）
C:\000D5B67\000C6B25.exe（如果C:\000D5B67\文件夹下有别的文件 一并删除，C：有类似这个文件夹名字的 一并删除）
★ *********************************************** ★

★ 『建议您清理的注册表项目』 ★
  ☆ HELP ☆删除以下文件
程序名称【A4A2B10】，映像路径【C:\WINDOWS\system32\E6D3A71.exe】
程序名称【D6A1B64】，映像路径【C:\WINDOWS\system32\B6C8D74.exe】
程序名称【{7A688FDC-91BA-4F61-8661-8BA8A0EEB7C9}】，映像路径【C:\Documents and Settings\Administrator\Application Data\Dbg16.Sys】
★ *********************************************** ★

★ 告知用户的其他事项： ★
请先关闭系统还原!!~
★ *********************************************** ★

替换方法参照enao4楼的贴~

既然重装系统

那么我们就干脆再装一次，记住，进新系统的第一次，绝不能使用其他盘任何文件，绝不能打开其他盘

只能在桌面上，操作连网，去下载瑞星杀毒软件，安装升级至最新版本，全盘杀毒。

杀完后，如果其他盘没杀出什么，就下载Dr.Web CureIt 到桌面,免安装的，直接启动,选择“全盘扫描”。
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

还是其他盘没杀出什么，就无奈了去下载卡卡助手，安装后去打全检测到的所有系统补丁。

我无法知道你是其他盘文件被感染，还是局域网内其他电脑影响你:kaka6:

重装了还这样，估计是感染型的了。。

按前面我说的方法修复安全模式
下载大蜘蛛保存到C:\WINDOWS\
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
进入安全模式找到cureit.exe，启动大蜘蛛全盘查杀（遇到病毒点修复，不行在点删除）

我是彻底没辙了~全盘格式化之后重装还是这样~我晕倒

你是在局域网内么？？

你使用了保留的什么文件没有？？例如安装驱动什么的。

还有你新系统不连网的情况下，刚进系统还这样异常？？

直接用pe引导进入系统。。然后用drweb cureit扫描。。这样杀毒比较彻底

全盘格式化之后重装还不行？除非你连着网呢，否则这不太可能出现这种情况~

我确实在局域网内，总共4部电脑~但是其他的电脑没有这类的现象出现吖~

只要我一连上网就会中标……悲剧~~我是不是应该把其他的电脑都断网然后再重新装一次全盘格式化呢？

把你上网后打开的网页保存为html格式发几个上来看看