瑞星卡卡安全论坛

我下载了一个软件，点击运行后，瑞星就被强行关闭了，

重启瑞星软件界面一出来就又被关闭了，这时鼠标的左、右键就不好使了

但是开始菜单还可用，

这试了几次，好象是不运行瑞星一切都还正常，一运行瑞星就不好使，运行前打开

什么窗口，那个窗口就不好使，鼠标不能点击，

我在安全模式下扫描，没有找到病毒，

告诉我该怎么办啊，

在线等候!!!!

下载的什么软件，扫个日志上来

哈，这个就不知道了，是个假的影音文件，其实是个带.exe后辍的文件，看见文件全名的时候已经晚了，我已经双击运行了，我赶紧强行关闭这个软件，但是已经晚了呀，可恨啊

请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改。

2006-06-10,21:59:00

System Repair Engineer 2.0.12.350 (2.0 RC 1)
    Windows XP Professional  - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><F:\WINDOWS\System32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NvCplDaemon><RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <nwiz><nwiz.exe /install>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <VirtualDrive><"F:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <vcdplayx><"F:\WINDOWS\vcdplayx.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NvMediaCenter><RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <DAEMON Tools-2052><"F:\Program Files\D-Tools\daemon.exe"  -lang 2052>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <rfw><F:\Program Files\rising\Rfw\Rfw.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NTdhcp><F:\WINDOWS\System32\NTdhcp.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe >
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><F:\WINDOWS\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <BlockAds><; >
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <eMuleAutoStart><; I:\1\eMule\eMule.exe -AutoStart>
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <MSMSGS><; "F:\Program Files\Messenger\msmsgs.exe" /background>
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <Pop-Up-Blocker><; >
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <Soltek><; F:\WINDOWS\System32\autorun.exe>
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <TransparentIcons><; >
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  <Tweak-XP><; >

==================================
启动文件夹
服务
[IMAPI CD-Burning COM Service / ImapiService]
  <F:\WINDOWS\System32\imapi.exe><Microsoft Corporation>
[NVIDIA Display Driver Service / NVSvc]
  <F:\WINDOWS\System32\nvsvc32.exe><NVIDIA Corporation>
[Peanut Hull Client Service / Peanut Hull Client Service]
  <F:\Program Files\PeanutHull\PHSvc.exe><Vavic Network Technology Inc.>
[Rising Process Communication Center / RsCCenter]
  <"F:\Program Files\rising\rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>

==================================
浏览器加载项
[ThunderIEHelper Class]
  {0005A87D-D626-4B3A-84F9-1D9571695F55} <F:\WINDOWS\System32\xunleibho_v5.dll, >
[QQBrowserHelperObject Class]
  {54EBD53A-9BC1-480B-966A-843A333CA162} <F:\Program Files\Tencent\qq\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[ShowBarObject Class]
  {850B69E4-90DB-4F45-8621-891BF35A5B53} <f:\windows\system32\alitb1\bar.dll, Alibaba>
[AlibabaButton Class]
  {13b0c05c-ef05-4bf6-b0ea-f6111af25544} <f:\windows\system32\alitb1\bar.dll, Alibaba>
[NetAnts]
  {57E91B47-F40A-11D1-B792-444553540000} <F:\PROGRA~1\NetAnts\NetAnts.exe,  >
[信息检索(&R)]
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation>
[@shdoclc.dll,-866]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <F:\Program Files\Tencent\qq\QQ.EXE, TENCENT>
[QQIEFloatBarCfgCmd Class]
  {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <F:\Program Files\Tencent\qq\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[上网助手]
  {1B0E7716-898E-48cc-9690-4E338E8DE1D3} <F:\PROGRA~1\3721\Assist\assist.dll, >
[&Radio]
  {8E718888-423F-11D2-876E-00A0C9082467} <F:\WINDOWS\System32\msdxm.ocx, N/A>
[WebActivater Control]
  {3D8F74EE-8692-4F8F-B8D2-7522E732519E} <F:\WINDOWS\System32\WEBACT~1.OCX, QQ>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <F:\WINDOWS\System32\macromed\flash\Flash.ocx, Macromedia, Inc.>
[&Download by NetAnts]
  <F:\PROGRA~1\NetAnts\NAGet.htm, N/A>
[&使用迅雷下载]
  <F:\Program Files\Thunder Network\Thunder\geturl.htm, N/A>
[&使用迅雷下载全部链接]
  <F:\Program Files\Thunder Network\Thunder\getAllurl.htm, N/A>
[Clip To ComicGURU]
  <F:\Program Files\Raysolutions\ComicGURU\ComicGURU_IEClip.htm, N/A>
[Download &All by NetAnts]
  <F:\PROGRA~1\NetAnts\NAGetAll.htm, N/A>
[上传到QQ网络硬盘]
  <F:\Program Files\Tencent\qq\AddToNetDisk.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
  <F:\Program Files\Tencent\qq\AddPanel.htm, N/A>
[添加到QQ表情]
  <F:\Program Files\Tencent\qq\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
  <F:\Program Files\Tencent\qq\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 504][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 560][\??\F:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 584][\??\F:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 628][F:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 640][F:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 820][F:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 868][F:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 960][F:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 988][F:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1108][F:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
[PID: 1276][F:\WINDOWS\System32\nvsvc32.exe]  <NVIDIA Corporation><6.14.10.8185>
[PID: 1484][F:\WINDOWS\Explorer.exe]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [F:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [F:\WINDOWS\system32\RavExt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 13>
    [F:\WINDOWS\System32\vdshell.dll]  <FarStone Technology Inc.><1, 5, 0, 0>
    [F:\PROGRA~1\3721\Assist\assist.dll]  <><2, 0, 2, 3>
    [F:\PROGRA~1\3721\assist\repair.dll]  <N/A><N/A>
    [F:\PROGRA~1\3721\assist\optimum.dll]  <N/A><N/A>
    [f:\progra~1\3721\assist\adfilter.dll]  < ><1, 0, 1, 5>
    [F:\PROGRA~1\3721\assist\XPStyle.dll]  <N/A><N/A>
    [F:\WINDOWS\System32\xunleibho_v5.dll]  <><4, 3, 3, 30>
    [F:\Program Files\Media Player Classi\Codecs\mmfinfo.dll]  <N/A><N/A>
    [F:\Program Files\Media Player Classi\Codecs\mkunicode.dll]  <N/A><N/A>
[PID: 1624][F:\Program Files\FarStone\VirtualDrive\VDTask.exe]  <FarStone Technology Inc.><7, 0, 0, 1>
[PID: 1148][F:\WINDOWS\vcdplayx.exe]  <Far Stone Technology Inc.><6, 2, 0, 0>
[PID: 1520][F:\WINDOWS\System32\RUNDLL32.EXE]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [F:\WINDOWS\System32\NvMcTray.dll]  <NVIDIA Corporation><6.14.10.8185>
    [F:\WINDOWS\System32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.8185>
[PID: 1652][F:\Program Files\D-Tools\daemon.exe]  <DAEMON'S HOME><3.47.0.0>
    [F:\WINDOWS\daemon.dll]  <N/A><3.47.0.0>
    [F:\Program Files\D-Tools\PFCTOC.DLL]  <Padus(R), Inc.><1, 0, 0, 12>
    [F:\Program Files\D-Tools\Plugins\Images\bw5mount.dll]  <N/A><1.0.2.0>
    [F:\Program Files\D-Tools\Plugins\Images\ccdmount.dll]  <GENERIC><1.02.0.0>
    [F:\Program Files\D-Tools\Plugins\Images\mdsmount.dll]  <GENERIC><1.01.0.0>
    [F:\Program Files\D-Tools\Plugins\Images\nrgmount.dll]  <GENERIC><1.02.0.0>
    [F:\Program Files\D-Tools\Plugins\Images\pdimount.dll]  <GENERIC><1.01.0.0>
[PID: 1724][F:\Program Files\rising\Rfw\Rfw.exe]  <Beijing Rising Technology Corporation Limited><2, 2, 0, 12>
    [F:\Program Files\rising\Rfw\BmpFace.dll]  <Beijing Rising Technology Corporation Limited><2, 1, 0, 0>
    [F:\Program Files\rising\Rfw\rfw.dll]  <Beijing Rising Technology Corporation Limited><2, 3, 0, 0>
    [F:\Program Files\rising\Rfw\chn\rfw.lag]  <Beijing Rising Technology Corporation Limited><2, 2, 0, 8>
[PID: 888][F:\WINDOWS\System32\NTdhcp.exe]  <N/A><N/A>
[PID: 352][F:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 2032][F:\Program Files\Maxthon\Maxthon.exe]  <MY Soft Technology><1, 2, 0, 0>
    [F:\Program Files\Maxthon\maxzlib.dll]  < ><1, 0, 0, 2>
    [F:\Program Files\Serv-U\ServUPerfCount.dll]  <N/A><N/A>
    [F:\Program Files\Maxthon\Services\RealTime\real_time.dll]  <><1, 0, 0, 1>
    [F:\Program Files\rising\Rav\RavScrCh.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
    [F:\WINDOWS\System32\CHENHU4.IME]  <chenhu><5.5>
    [F:\WINDOWS\System32\macromed\flash\Flash.ocx]  <Macromedia, Inc.><7,0,19,0>
[PID: 1528][F:\Program Files\BitComet\BitComet.exe]  <www.BitComet.com><0.57.>
[PID: 1532][E:\toolbackup\kill\sreng2\SREng.exe]  <Smallfrogs Studio><2.0.12.350>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["F:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

ALT+CTRL+DELETE调出任务管理器,终止NTdhcp.exe的进程（如果有的话）
运行System Repair Engineer，使用“启动项目，注册表”来删除以下选项。
（如果在注册表里无法识别那一下，可以选中一项后，点“编辑”这样会有很明细的路径）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NTdhcp><F:\WINDOWS\System32\NTdhcp.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<Soltek><; F:\WINDOWS\System32\autorun.exe>（这一项有些争议，如果你也不知道，建议删除）
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名
删除
关系瑞星的问题
在解决这个病毒后，才能修复瑞星。建议你重启后，再扫个日志，如果没有F:\WINDOWS\System32\NTdhcp.exe
建议你这样做
开始——程序——瑞星杀毒软件——添加删除组件——修复
如果还不行，请卸载瑞星，重启，手动删除瑞星的安装目录，再重装瑞星。

该用户帖子内容已被屏蔽

感谢----我无邪

已经能启动瑞星了，就是监控又被禁用了，这个我可以搞定

哎，ntdhcp.exe 害人不浅啊