瑞星卡卡安全论坛

辛苦楼主了……
请按照以下步骤操作：
1、使用IceSword删除病毒文件（在IceSword的“设置”中勾选“禁止进程创建”和“禁止协件功能”，修复后请去掉“禁止进程创建”和“禁止协件功能”前的对勾）；
2、打开注册表编辑器，展开到如下图所示的位置，删除uqzbersh分支，删除带有UQZBERSH.D1L、UQZBERSH.SYS、UQZBERSH.DLL和Svch0st字样的项目（项目比较多，还有一些诸如wnilogon和fucksnow等等）；



3、清理系统；
4、使用杀毒软件全面扫描系统。
试试吧。

请下载并使用Spybot - Search & Destroy和Ad-Aware SE：
【教程】Spybot - Search & Destroy图文介绍

http://forum.ikaka.com/topic.asp?board=67&artid=7226076
【教程】Ad-Aware SE图文介绍

http://forum.ikaka.com/topic.asp?board=67&artid=7247932
以上两个帖子中有下载页面地址和使用方法。

还有这个也是键盘记录器，从LOG中可以看出

请楼主少去些**网站，访问的是个不常见播放器的站点

引用:

【艾玛的贴子】请楼主少去些**网站，访问的是个不常见播放器的站点 ...........................

播放器?不会吧

引用:

【天使之剑的贴子】辛苦楼主了…… 请按照以下步骤操作： 1、使用IceSword删除病毒文件； 2、打开注册表编辑器，展开到如下图所示的位置，删除uqzbersh分支，删除带有UQZBERSH.D1L、UQZBERSH.SYS、UQZBERSH.DLL和Svch0st字样的项目（项目比较多，还有一些诸如wnilogon和fucksnow等等）； 3、清理系统； 4、使用杀毒软件全面扫描系统。 试试吧。 ...........................

谢谢~
删除文件用先结束svchost和ie吗
uqzbersh分支,肯定得删
其他分支(5603\5604)清空键值还是?(要删的应该不少)
要用IS删是吧

引用:

【又被黑了的贴子】 谢谢~ 删除文件用先结束svchost和ie吗 uqzbersh分支,肯定得删 其他分支(5603\5604)清空键值还是?(要删的应该不少) 要用IS删是吧 ...........................

先不要中止任何进程进行操作。删除的工作请使用IceSword进行。
另外，关于5603和5604分支，不要删除它们。

system/uqzbersh.d1l
删完还出

我刚看了下记录日志，居然你操作了什么都记录在案


请封锁可疑的程序访问网络，它可能把这些带密码（比如卡卡论支的密码等等）的东东发出去

C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.DL1
也一样
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.log
还一样

引用:

【艾玛的贴子】我刚看了下记录日志，居然你操作了什么都记录在案 请封锁可疑的程序访问网络，它可能把这些带密码（比如卡卡论支的密码等等）的东东发出去 ...........................

我日~
能禁的都禁了

请楼主先断网，关闭所有不必要的窗口，使用IceSword删除病毒文件（在IceSword的“设置”中勾选“禁止进程创建”和“禁止协件功能”，修复后请去掉“禁止进程创建”和“禁止协件功能”前的对勾）。

待会儿也许不能及时地回复楼主的帖子了，不过还是请楼主反映情况，会有其他朋友来帮助您的。

http://www.anti-vir.cn/bbs/thread.php?fid=19

直接结束ie=立刻冲起
windows从严重错误中恢复
sys删了，好象换了一个来..

附件: 4565132006111122840.JPG

引用:

【艾玛的贴子】http://www.anti-vir.cn/bbs/thread.php?fid=19 ...........................

来看看...

引用:

【又被黑了的贴子】直接结束ie=立刻冲起 windows从严重错误中恢复 sys删了，好象换了一个来.. ...........................

很抱歉，这步操作有误。先在IceSword的“设置”中勾选“禁止进程创建”和“禁止协件功能”，然后用IceSword按路径找到病毒文件，直接删除。修复后别忘记去掉“禁止进程创建”和“禁止协件功能”前的对勾。
注册表需要怎么清理前面已经提到了，请楼主确认。

引用:

【天使之剑的贴子】 很抱歉，这步操作有误。先在IceSword的“设置”中勾选“禁止进程创建”和“禁止协件功能”。然后用IceSword按路径找到病毒文件，直接删除。修复后别忘记去掉“禁止进程创建”和“禁止协件功能”前的对勾。 注册表需要怎么清理前面已经提到了，请楼主确认。 ...........................

哦，这样啊~没关系
(5603\5604)是要留着观察一下吧

上来就有问题了
还是删不下去

附件: 4565132006111135127.JPG

高手出招，病毒没跑。

引用:

【又被黑了的贴子】上来就有问题了 还是删不下去 ...........................

“开始”，“运行”，键入cmd，回车。
键入：
attrib -r -h -s %systemroot%\system32\UQZBERSH.D1L回车
attrib -r -h -s %systemroot%\system32\DRIVERS\UQZBERSH.SYS回车
attrib -r -h -s %systemroot%\system32\UQZBERSH.DLL回车
attrib -r -h -s %systemroot%\system32\UQZBERSH.DL1回车
del %systemroot%\system32\UQZBERSH.D1L回车
del %systemroot%\system32\DRIVERS\UQZBERSH.SYS回车
del %systemroot%\system32\UQZBERSH.DLL回车
del %systemroot%\system32\UQZBERSH.DL1回车
展开注册表至HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES，删除uqzbersh分支。
先进行以上的这些操作。

运行完上面的
del %systemroot%\system32\UQZBERSH.D1L 拒绝访问
del %systemroot%\system32\UQZBERSH.DLL 拒绝访问
UQZBERSH.DL1直接找不到.sys找不到路径应该已经删了
注册表暂时没动

引用:

【又被黑了的贴子】运行完上面的 del %systemroot%\system32\UQZBERSH.D1L 拒绝访问 del %systemroot%\system32\UQZBERSH.DLL 拒绝访问 UQZBERSH.DL1直接找不到.sys找不到路径应该已经删了 注册表暂时没动 ...........................

用IceSword展开注册表至HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES，删除uqzbersh分支。
重新启动计算机，“开始”，“运行”，键入cmd，回车。
键入：
attrib -r -h -s %systemroot%\system32\UQZBERSH.D1L回车
attrib -r -h -s %systemroot%\system32\UQZBERSH.DLL回车
del %systemroot%\system32\UQZBERSH.D1L /f/q回车
del %systemroot%\system32\UQZBERSH.DLL /f/q回车
试试吧。