瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 发现病毒,难以清除!
无限001 - 2006-10-23 10:43:00
早上开机,卡巴就发现了该病毒,于是点击处理.
显示重启后删除该文件,于是重启后继续显示有该病毒文件,点击处理又得重启.周而复返,卡巴看来是解决不了它.这时我试着运行程序,居然常用的一些程序全部无法运行.
于是退到安全模式下进行如下的功课了:

1.运行卡巴,本想再杀一下,结果只有个小图标出现在任务栏里,运行不了他的界面在桌面上.
2.用sreng关闭rhcwui52.dll的启动项(安全模式下显示有,正常情况下未显示有),删除rhcwui52.sys的驱动服务.
3.手动删除和重命名这两个文件显示,显示有另一个程序正在运行它,但IceSword进程没有异常,均是正常的.
查看每个正在运行的进程模块,未发现rhcwui52.dll和rhcwui52.sys的影子.
4.利用IceSword和killbox删除如下两个卡巴认为是病毒的文件.均未成功.
a.    c\windows\system32\rhcwui52.dll
b.    c\windows\system32\drivers\rhcwui52.sys
IceSword删除文件时,我也设置了:禁止运行进程
killbox也设置了:结束进程和反注册两个选项
5.上百度搜索关于卡巴显示的病毒名,未果!
6.更新绿色版Dr.web病毒库,扫描这两个文件,显示无病毒
安装了SSM,不知如何使用!!
不得已,求助各位大侠,实在是能力有限,做了这些功课还是没能清除它!!!!

附件: 71640820061023103531.jpg
无限001 - 2006-10-23 10:49:00
右键属性显示(和我的系统文件是同一时期创建的):

附件: 71640820061023104102.jpg
无限001 - 2006-10-23 10:50:00
附上日志:




006-10-23,10:01:41

System Repair Engineer 2.2.6.605
Smallfrogs (http://www.KZTechs.com)

Windows Server 2003 Enterprise Edition  (Build 3790)
- 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\windows\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
    <run><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <WinPatrol><D:\Program Files\WinPatrol\winpatrol.exe>  [BillP 工作室]
    <Task Catcher><D:\Program Files\WinPatrol\tasktrap.exe>  [BillP Studios]
    <kis><"D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe">  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\windows\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><%SystemRoot%\system32\logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\System Safety Monitor]
    <WinlogonNotify: System Safety Monitor><SSMWinlogonEx.dll>  [(Verified)System Safety Limited]

==================================
无限001 - 2006-10-23 10:50:00
启动文件夹
N/A

==================================
服务
[Autodesk Licensing Service / Autodesk Licensing Service]
  <"C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe"><Autodesk>
[卡巴斯基互联网安全套装 6.0 / AVP]
  <D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe -r><Kaspersky Lab>
[BFNNUVGFY / BFNNUVGFY]
  <><N/A>
[GUSWVEJAM / GUSWVEJAM]
  <><N/A>
[Human Interface Device Access / HidServ]
  <C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[RaySat_3dsmax8 Server / mi-raysat_3dsmax8]
  <"D:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe"><N/A>
[NVIDIA Driver Helper Service / NVSvc]
  <C:\windows\system32\nvsvc32.exe><NVIDIA Corporation>
[Shadow System Service / ShadowSystemService]
  <C:\WINDOWS\system32\shadow\ShadowService.exe><N/A>

==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[ghostsec / ghostsec]
  <\??\E:\下载软件\06.08.11\病毒分析和系统修复工具\gss\ghostsec.sys><N/A>
[GWIOPM / GWIOPM]
  <\??\E:\下载软件\06.08.11\病毒分析和系统修复工具\Windows优化大师V7.6赢政天下绿色版\GWIOPM.sys><N/A>
[IP in IP Tunnel Driver / IpInIp]
  <system32\DRIVERS\ipinip.sys><N/A>
[kl1 / kl1]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[Netgroup Packet Filter / NPF]
  <system32\drivers\npf.sys><NetGroup - Politecnico di Torino>
[npkcrypt / npkcrypt]
  <\??\D:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Parador / Parador]
  <\??\C:\windows\system32\drivers\parador.sys><Serial Scientific International, Inc.>
[Direct Parallel Link Driver / Ptilink]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[rhcwui5 / rhcwui52]
  <\SystemRoot\System32\DRIVERS\rhcwui52.sys><N/A>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[System Safety Monitor 2.0 Core Engine / safemon]
  <\SystemRoot\system32\drivers\safemon.sys><System Safety Limited>
[Secdrv / Secdrv]
  <system32\DRIVERS\secdrv.sys><N/A>
[snpshot / snpshot]
  <C:\windows\SYSTEM32\DRIVERS\snpshot.SYS><PowerShadow>
[TSP / TSP]
  <\??\C:\windows\system32\drivers\klif.sys><Kaspersky Lab>

==================================
浏览器加载项
[IeCatch5 Class]
  {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <D:\PROGRA~1\FLASHGET\jccatch.dll, FlashGet>
[超级兔子上网精灵]
  {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} <E:\下载软件\06.08.11\MagicSet\haokanbar.dll, Xiang Feng Technology>
[gFlash Class]
  {F156768E-81EF-470C-9057-481BA8380DBA} <D:\PROGRA~1\FLASHGET\getflash.dll, N/A>
[Web反病毒保护]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll, Kaspersky Lab>
[FlashGet]
  {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\PROGRA~1\FLASHGET\flashget.exe, FlashGet.com>
[超级兔子上网精灵]
  {43869BB3-22FD-4F15-9B46-238106BA2F4E} <E:\下载软件\06.08.11\MagicSet\haokanbar.dll, Xiang Feng Technology>
[FlashGet Bar]
  {E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\PROGRA~1\FLASHGET\fgiebar.dll, Amaze Soft>
[使用网际快车下载]
  <D:\Program Files\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
  <D:\Program Files\FlashGet\jc_all.htm, N/A>
无限001 - 2006-10-23 10:51:00
正在运行的进程
[PID: 396][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 444][\??\C:\windows\system32\csrss.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 472][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
    [C:\windows\system32\SSMWinlogonEx.dll]  [System Safety Limited, 2.2.0.591]
[PID: 520][C:\windows\system32\services.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 532][C:\windows\system32\lsass.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 736][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 796][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
    [D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.0.299]
[PID: 816][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
    [D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.0.299]
[PID: 976][C:\windows\system32\spoolsv.exe]  [Microsoft Corporation, 5.2.3790.346 (srv03_gdr.050610-1523)]
    [C:\windows\system32\hpzsnt10.dll]  [HP, 2.323.0.0]
[PID: 1012][C:\WINDOWS\system32\msdtc.exe]  [Microsoft Corporation, 2001.12.4720.0 (srv03_rtm.030324-2048)]
[PID: 1116][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 1132][C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe]  [Autodesk, 2.66.000]
[PID: 1204][D:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe]  [N/A, N/A]
[PID: 1556][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.3790.0 (srv03_rtm.030324-2048)]
    [C:\WINDOWS\system32\AcSignIcon.dll]  [Autodesk, 16.2.54.0]
    [C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll]  [Autodesk, 16.2.54.0]
    [C:\windows\system32\rhcwui52.dll]  [N/A, N/A]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
    [D:\PROGRA~1\FLASHGET\jccatch.dll]  [FlashGet, 1, 1, 5, 0]
    [D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  [Adobe Systems, Inc., 7.0.0.0]
[PID: 1852][D:\Program Files\WinPatrol\winpatrol.exe]  [BillP 工作室, 10, 0, 3, 0]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
[PID: 1860][D:\Program Files\WinPatrol\tasktrap.exe]  [BillP Studios, 1, 0, 0, 2
Sincerely thanks the original developer coding such a meaty ware
Chinese interface localized by LordFox(狐狸少爷)
For further assistance, contact me with
HH.Feedback@GMail.COM Not to hesitate ^_^]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
[PID: 1880][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
[PID: 200][C:\Program Files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.3790.0 (srv03_rtm.030324-2048)]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
    [C:\WINDOWS\system32\AcSignIcon.dll]  [Autodesk, 16.2.54.0]
    [D:\PROGRA~1\FLASHGET\jccatch.dll]  [FlashGet, 1, 1, 5, 0]
    [E:\下载软件\06.08.11\MagicSet\haokanbar.dll]  [Xiang Feng Technology, 2, 2, 0, 1612]
    [D:\PROGRA~1\FLASHGET\getflash.dll]  [N/A, 1, 0, 0, 1]
[PID: 268][E:\下载软件\06.08.11\病毒分析和系统修复工具\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
    [D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.0.299]
[PID: 1148][C:\WINDOWS\system32\wbem\wmiprvse.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
[PID: 1188][d:\Program Files\System Safety Monitor\SSMShellUtils.exe]  [System Safety Limited, 2.2.0.591]
    [C:\windows\system32\PATROLPRO.DLL]  [BillP Studios, 1.2.0.0]
    [C:\WINDOWS\system32\AcSignIcon.dll]  [Autodesk, 16.2.54.0]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
无明中毒 - 2006-10-23 10:58:00
试用这个软件吧!SRENG2
无限001 - 2006-10-23 11:14:00
已经在用了,上面的日志就是用最新版sreng扫描的!1
无限001 - 2006-10-23 11:24:00
正在关注,求教了,各位!!!
无限001 - 2006-10-23 11:38:00
继续在线关注!!
无限001 - 2006-10-23 12:33:00
在线等!!
无限001 - 2006-10-23 12:52:00
继续顶!
yizi - 2006-10-23 13:02:00
QQhelp  变种?
无限001 - 2006-10-23 13:04:00
呵呵.
这个,我不清楚!!!
就我的能力看着好像很厉害!!
深海神秘 - 2006-10-23 13:16:00
Trojan.PSW.XYOnline.fk
这个怎么杀啊,瑞星不管用.
荒原野狼 - 2006-10-23 13:18:00
楼主你下载一个unlocker,很小,华军有下载的,下载安装以后,右键菜单有这一项,你选中欲删除的文件右键选择这一项,点解锁,一次解不了多点几次,然后就可以删除掉。然后再到注册表里搜索文件的主文件名,把那个项删除就行。
深海神秘 - 2006-10-23 13:18:00
Trojan.PSW.XYOnline.fk
GEWEI  各位大虾,这个怎么杀啊,昨天弄到今天,都弄不掉它
无限001 - 2006-10-23 13:26:00
【回复“荒原野狼”的帖子】

说实在的,
IceSword和killbox不能删除它,我不知unlocker有多少能耐.
高歌猛进 - 2006-10-23 14:04:00
1:检查HKLM\SYSTEM\CCS\CONTROL\SAFEBOOT下,AlternateShell值应为cmd.exe
2:清空C:\Autoexec.bat
进入安全模式,右键打开硬盘,再试试
无限001 - 2006-10-23 14:11:00
【回复“荒原野狼”的帖子】

非常感谢,用unlocker在正常的模式下也可以删除那两个病毒文件!!
无限001 - 2006-10-23 14:20:00
【回复“高歌猛进”的帖子】
多谢回复!
1.第一项和你说的是一样的.
2.C盘根目录没有Autoexec.bat
无限001 - 2006-10-23 14:52:00
用卡巴扫描C盘,未发现病毒~~
开机不出现有病毒的提示了!!!
目前问题基本解决!!

explorer.exe的模块没用rhcwui52.dll
rhcwui52.sys的驱动服务也已经不存在了!!
卡巴扫描C盘已经不存在病毒了!!
亦我行☆ - 2006-10-23 15:16:00
学习了
荒原野狼 - 2006-10-23 18:33:00
引用:
【无限001的贴子】【回复“荒原野狼”的帖子】

非常感谢,用unlocker在正常的模式下也可以删除那两个病毒文件!!

………………

恭喜你杀毒成功!unlocker,别看小,作用蛮大的,呵呵。
1
查看完整版本: 发现病毒,难以清除!
© 2000 - 2026 Rising Corp. Ltd.