瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 单位笔记本中病毒,多种修复后,仍然存在,请指教!
笑傲江湖0177 - 2006-9-8 16:49:00
<BIE><; Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSrHook.dll,Rundll32>
<WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll>
<WinlogonNotify: policies><C:\WINDOWS\system32\jt4s07h7e.dll>
运行System Repair Engineer,使用“系统修复,浏览器加载项”来删除以下选项
{8C290E1C-9217-46AA-92F9-1E9EE7379D56} <C:\WINDOWS\System32\byxxy.dll, N/A>
双击打开KillBox.exe,分别删除
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\DOWNLO~1\BDSrHook.dll
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\jt4s07h7e.dll
C:\WINDOWS\system32\lecalspl.dll
(删除时勾选“删除前先结束Explorer.EXE进程”)
注:后缀为.dll的文件如果无法删除,请勾选"反注册""再删除

仍然无法删除!!!
westbeck - 2006-9-8 16:53:00
请再贴日志。。。
笑傲江湖0177 - 2006-9-8 17:04:00
2006-09-08,16:52:14

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional  (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>  [Microsoft Corporation]
    <MSMSGS><; "C:\Program Files\Messenger\msmsgs.exe" /background>  [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <!ewido><"D:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized>  [Anti-Malware Development a.s.]
    <AGRSMMSG><; AGRSMMSG.exe>  [Agere Systems]
    <AsShell><; "C:\PROGRA~1\3721\assist\AsShell.exe">  []
    <ATIModeChange><; Ati2mdxx.exe>  [ATI Technologies, Inc.]
    <BIE><; Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSrHook.dll,Rundll32>  []
    <IMEKRMIG6.1><; C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE>  [Microsoft Corporation]
    <IMJPMIG8.1><; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>  [Microsoft Corporation]
    <kpcdst><; D:\Program Files\media\kingplayer2003\cdsprite.exe>  [金山软件股份有限公司]
    <MSPY2002><; C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC>  []
    <NPDTray><; C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe>  []
    <PHIME2002A><; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [Microsoft Corporation]
    <PHIME2002ASync><; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [Microsoft Corporation]
    <QCTRAY><; C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE>  []
    <QCWLICON><; C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE>  []
    <rfw><; C:\Program Files\rising\Rfw\Rfw.exe>  [Beijing Rising Technology Corporation Limited]
    <RfwMain><; "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
    <StatusClient><; C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto>  [Hewlett-Packard]
    <stup.exe><; C:\PROGRA~1\TENCENT\Adplus\stup.exe>  []
    <SynTPEnh><; C:\Program Files\Synaptics\SynTP\SynTPEnh.exe>  [Synaptics, Inc.]
    <SynTPLpr><; C:\Program Files\Synaptics\SynTP\SynTPLpr.exe>  [Synaptics, Inc.]
    <Thunder><; "D:\迅雷\Thunder.exe" /s>  [Thunder Networking Technologies,LTD]
    <TkBellExe><; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot>  [RealNetworks, Inc.]
    <TomcatStartup><; C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe>  [Hewlett-Packard]
    <TP4EX><; tp4ex.exe>  [IBM Corporation]
    <TPHOTKEY><; C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe>  []
    <TPTRAY><; C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE>  []
    <WangWang><; D:\新华字典\淘宝旺旺\WangWang.exe>  [浙江淘宝网络有限公司]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><EXPLORER.EXE>  [Microsoft Corporation]
    <Userinit><userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxy]
    <WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup]
    <WinlogonNotify: Setup><C:\WINDOWS\system32\p8r4li9q18.dll>  []
笑傲江湖0177 - 2006-9-8 17:07:00
启动文件夹
服务
[Ati HotKey Poller / Ati HotKey Poller]
  <C:\WINDOWS\System32\Ati2evxx.exe><N/A>
[ewido anti-spyware 4.0 guard / ewido anti-spyware 4.0 guard]
  <D:\Program Files\ewido anti-spyware 4.0\guard.exe><Anti-Malware Development a.s.>
[IBM PM Service / IBMPMSVC]
  <C:\WINDOWS\System32\ibmpmsvc.exe><N/A>
[IMAPI CD-Burning COM Service / ImapiService]
  <C:\WINDOWS\System32\imapi.exe><Microsoft Corporation>
[QCONSVC / QCONSVC]
  <System32\QCONSVC.EXE><N/A>
[Rising Proxy  Service / RfwProxySrv]
  <d:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService]
  <d:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter]
  <"D:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon]
  <"D:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

==================================
笑傲江湖0177 - 2006-9-8 17:07:00
浏览器加载项
[]
  {37BBA6B9-B7BF-454A-A0AC-36380EDBF651} <C:\WINDOWS\System32\byxxy.dll, N/A>
[超级兔子上网精灵]
  {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} <C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll, Xiang Feng Technology>
[超级兔子上网精灵]
  {43869BB3-22FD-4F15-9B46-238106BA2F4E} <C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll, Xiang Feng Technology>

==================================
正在运行的进程
[PID: 1724][C:\WINDOWS\system32\rundll32.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\system32\MASTKPRP.DLL]  <N/A><N/A>
[PID: 332][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\byxxy.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\MASTKPRP.DLL]  <N/A><N/A>
    [C:\Program Files\Adobe\ActiveX\PDFShell.dll]  <Adobe Systems, Inc.><7.0.0.0>
[PID: 564][d:\program files\rising\rfw\RfwMain.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 51>
    [d:\program files\rising\rfw\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 23>
    [d:\program files\rising\rfw\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [d:\program files\rising\rfw\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
[PID: 1228][D:\Program Files\ewido anti-spyware 4.0\ewido.exe]  <Anti-Malware Development a.s.><4, 0, 0, 172>
    [D:\Program Files\ewido anti-spyware 4.0\engine.dll]  <Anti-Malware Development a.s.><4, 0, 0, 172>
[PID: 544][C:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 3756][C:\Program Files\tools\WinRAR\WinRAR.exe]  <N/A><N/A>
[PID: 3832][C:\DOCUME~1\plh\LOCALS~1\Temp\Rar$EX00.904\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
笑傲江湖0177 - 2006-9-8 17:08:00
感谢,多帮忙啊!系统里好多东西,不想重装!谢谢
笑傲江湖0177 - 2006-9-8 17:29:00
不要沉了
被木马搞怕了 - 2006-9-8 17:33:00
不会沉的!!!别的做不了!!这个能帮到你的!!
笑傲江湖0177 - 2006-9-8 17:38:00
谢了,我在等候消息!
笑傲江湖0177 - 2006-9-8 18:09:00
谢了,我在等候消息!
baohe - 2006-9-8 18:13:00
【回复“笑傲江湖0177”的帖子】
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxy]
<WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup]
<WinlogonNotify: Setup><C:\WINDOWS\system32\p8r4li9q18.dll> []
关闭所有应用程序。
断网。
删除这两个加载项。
重启系统。
删除:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
笑傲江湖0177 - 2006-9-8 20:22:00
请问?怎样关闭所有的应用程序,我不明白,曾尝试关闭,但是机器黑屏?怎么办呢?请教?谢谢了!!!
笑傲江湖0177 - 2006-9-8 21:20:00
请问?怎样关闭所有的应用程序,我不明白,曾尝试关闭,但是机器黑屏?怎么办呢?请教?谢谢了!!!
笑傲江湖0177 - 2006-9-8 21:43:00
引用:
【baohe的贴子】【回复“笑傲江湖0177”的帖子】
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxy]
<WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup]
<WinlogonNotify: Setup><C:\WINDOWS\system32\p8r4li9q18.dll> []
关闭所有应用程序。
断网。
删除这两个加载项。
重启系统。
删除:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
………………




试过了,不让删啊
笑傲江湖0177 - 2006-9-8 21:44:00
引用:
【baohe的贴子】【回复“笑傲江湖0177”的帖子】
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxy]
<WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup]
<WinlogonNotify: Setup><C:\WINDOWS\system32\p8r4li9q18.dll> []
关闭所有应用程序。
断网。
删除这两个加载项。
重启系统。
删除:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
………………




试过了,不让删啊
baohe - 2006-9-8 21:52:00
引用:
【笑傲江湖0177的贴子】
引用:
【baohe的贴子】【回复“笑傲江湖0177”的帖子】
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxy]
<WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup]
<WinlogonNotify: Setup><C:\WINDOWS\system32\p8r4li9q18.dll> []
关闭所有应用程序。
断网。
删除这两个加载项。
重启系统。
删除:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
………………




试过了,不让删啊
………………

既然是这样,那就试试用SSM禁止以下两个dll加载:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
将SSM设置为“自动运行”。
重启系统。
删除这两个dll。
如果能删除这两个文件,然后再删除它的注册表启动项。
笑傲江湖0177 - 2006-9-8 22:09:00
引用:
【baohe的贴子】
引用:
【笑傲江湖0177的贴子】
引用:
【baohe的贴子】【回复“笑傲江湖0177”的帖子】
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxy]
<WinlogonNotify: byxxy><C:\WINDOWS\System32\byxxy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup]
<WinlogonNotify: Setup><C:\WINDOWS\system32\p8r4li9q18.dll> []
关闭所有应用程序。
断网。
删除这两个加载项。
重启系统。
删除:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
………………




试过了,不让删啊
………………

既然是这样,那就试试用SSM禁止以下两个dll加载:
C:\WINDOWS\System32\byxxy.dll
C:\WINDOWS\system32\p8r4li9q18.dll
将SSM设置为“自动运行”。
重启系统。
删除这两个dll。
如果能删除这两个文件,然后再删除它的注册表启动项。
………………







抱歉,请教ssm?,谢谢
baohe - 2006-9-8 22:20:00
引用:
【笑傲江湖0177的贴子】

抱歉,请教ssm?,谢谢
………………



附件: 155847200698221235.jpg
笑傲江湖0177 - 2006-9-8 22:48:00
引用:
【baohe的贴子】

………………



谢了!试试看!感谢你的帮助!!
12
查看完整版本: 单位笔记本中病毒,多种修复后,仍然存在,请指教!
© 2000 - 2026 Rising Corp. Ltd.