瑞星卡卡安全论坛

估计该流氓软件已经升级，致使瑞星卡卡无法删除，另外该流氓软件危险级别绝对应该是Highest!!!可以自动下载其他流氓软件，我开机后清理一遍，就剩它一个，不一会，再搜索，居然又出现二十多个！！！

附件: 79961920061214112558.jpg

怎么只能贴一个图，有没有搞错！

我快要被烦死拉！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

附件: 79961920061214112957.jpg

不止瑞星卡卡杀不了，试了好多软件，都是查的出来杀不了。这是恶意软件清理助手中对“桌面传媒”的描述。

附件: 79961920061214113239.jpg

按照瑞星 流氓软件定义 这个应该属于病毒啊

怎么搞的

用瑞星2007开机扫描

这个快搜流氓是什么东西不知道，不过在瑞星卡卡里没有显示。我用的瑞星卡卡是最新的，删除不了，以前发的帖子也沉了，没人管啊！！

    吗的，“结了婚也没人管啊”！！

附件: 79961920061214113648.jpg

我快死了，哪位高人指条明路吧，啥医都投了，实在不行只好找个跳大神的先跳跳了

重新启动无数次，依然无法删除

不能沉啊！不能沉啊！不能沉啊！不能沉啊！不能沉啊！不能沉啊！不能沉啊！不能沉啊！

吗的，又沉了！

该用户帖子内容已被屏蔽

我记得好象以前的版本在安全模式下可以杀，或者进安全模式用瑞星杀毒软件试试

我感觉好象是这个流氓软件升级了，而瑞星卡卡不求进取或者没在意或者等等，所以删不了了现在，我看见很多人发帖子也在说这个流氓软件。

拜托，有和我一样困困难的兄弟姐妹大哥大嫂叔叔阿姨之类之流的回复下啊，回复的多了才能叫人看见啊，才能引起重视啊，我靠，帮人就是帮己啊

不用沮丧，现在流行ROOTKIT
只是注册成驱动服务了，用冰刃或syscheck停止zstdp.sys服务，重启后就可以了，或在DOS下pe系统下删除也可以，重启后，就可以删除其它的相关程序了

呵呵，这个不能怪卡卡，这个流氓软件编得实在是太妙了。值得国内其他写这些软件的朋友学习。但卡卡确实在这个问题上帮了一个大忙。

下面我介绍下我怎么解决的，里面也牵涉我自己解决这类问题的一些方法，可以跟大家分享一下。

首先，要把卡卡帮你找出来的你盘符里面的这些文件干掉。当然，正常模式和安全模式都是干不掉它们的。可以先抄下来，用winPE(有的叫深山红叶）或纯dos 或把中毒机器的盘挂到从盘，借其他机器，把这些统统干掉，（但一定要小心，情愿慢点，不要误操作，因为这些状态下你可以对你系统里的任何文件进行操作而没任何保护。）然后，在相同位置做个和原文件同名的文件夹，如“NTserver32.dll”,你就在C:\windows\system32下再建个NTserver32.dll的文件夹，要把.dll也写进去。

然后，正常进入系统，开始—运行—regedit，把卡卡找出来的那些注册表项目一个个干掉。这个你要一个个来，有几个不能删除，不要急，先把能删的都删了。然后重启，这时候你已经基本解决了这个软件了。

接下来要干掉那些残余的东西，这当中又牵涉到一个设置注册表权限的技巧，你可以google一下，我不再赘述。你要把那几个项的everyone统统改成完全控制就可以干掉了。但有一个含windows NT service的项，总是干不掉，共有三个，留作纪念吧。说明卡卡也没完全找出这个恶意软件的全部文件和注册表项。这个待研究吧，因为它已经废了。

最后我谈谈对卡卡的看法

首先，卡卡只是个助手，如果你对操作系统比较熟悉，那它是个很好的工具。如果你想依赖一种软件搞定所有病毒和恶意软件，那我推荐你去用ghost比较好。客观地说一句，目前为止，我用下来，卡卡是查这类恶意软件查出最多的软件，而且能告知得比较详细。如果你是个网管，我还是很推荐你使用的。

其次，我发现如果我把刚才那几个文件名字改改，卡卡就查不出来了。可见它对这种软件也只是停留在文件名上，我搞个变种估计各位就更头大了。当然，这次的这个流氓软件确实挺有意思的。

不知楼主看完我的帖子问题是否解决了呢？呵呵，如果还有没解决可以跟贴继续交流。

我有个朋友也是这样,我也没有搞定,所以在这里等高手

那啥，我试试，等我哪天成高手了，老子把制作流氓软件的公司黑了去。

“winPE(有的叫深山红叶）或纯dos 或把中毒机器的盘挂到从盘，借其他机器，把这些统统干掉”
    老大，幸好我是学这个的，多少能懂点，这要是和别人说，肯定一头雾水，我虽然不是一头，但至少也有半头了~~
    那个winPE得现出去买吧~；DOS，晕了，没装……；“把中毒机器的盘挂到从盘”老大，说真的，不懂怎么挂
   

那个，救人救到底，送佛送到西，具体告诉一下吧，把那个“中毒机器的盘挂到从盘”的方法告诉下。谢谢拉

这就热门主题拉？才二百多个点击，21个回复（还有二十多个是我自己回的），伤心啊。

我跟楼主一样,用360卫士和Windows清理助手清理说清理成功了,但用卡卡和金山毒霸系统清理专家查就还是有但就是杀不掉,安全模式也一样杀不掉,用了n多种现在比较流行的来杀要么查不到,查到的解决不了!晕晕!!!!!!!!!!!
    顶上去!!!!!!!!!!!!@@@@@@@@@@@@@

补充下: 跟楼主一样用工具全杀完后 有时候突然又跳出好多乱78糟的进程查下有来了好多流氓软件 还真像会自动下载别的!!真变态!!
  up!up!up!
来个搞的定的吧!!!!!!!!!!!!!!!!!!!!!!!!1

一定要顶住！我也是这个问题。。
爷爷祝桌面媒体全体相关人员及其家属生男孩没小弟弟，生女孩没奶子，没洞洞。！无论男孩女孩全都没菊花！

我的情况跟楼主一样，我废了半天劲，根据卡卡能查出来的文件名，我用进入矮人DOS里面，把那几个文件都删掉了，但注册表就是动不了，只要一进WINDOWS注册表里的东西根本就删不掉，而且我现在都不能打开“我的电脑”以及任何可以启EXPLORER.EXE的东西，如果那样，这个桌面媒体就会马上下载安装一堆流氓软件，我真服了。用瑞星2007也杀不出来，我刚升级的最新版。

不行啦，在这样下去电脑都没法用了，卡卡工作组的同志们啊，加油啊，赶快想法干掉这个王 波啊 得安 软件啊。


Logfile of Kaka v2. 0. 2. 4 Scan Module v1. 0. 3. 6
Scan saved at 00:41:44, on 2006-12-16
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
R3 - URLSearchHook: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v13.dll
O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\WINDOWS\system32\IESHEL~1.DLL
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\tools\oocip\oicpppp\QQIEHelper.dll
O2 - BHO: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [runeip] D:\tools\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [KKDelay] D:\tools\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Startup: delshare.bat =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: &使用迅雷下载 - D:\tools\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\tools\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\tools\oocip\oicpppp\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\tools\oocip\oicpppp\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\tools\oocip\oicpppp\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\tools\oocip\oicpppp\SendMMS.htm
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tools\oocip\oicpppp\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tools\oocip\oicpppp\QQ.EXE
O9 - Extra Button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tools\oocip\oicpppp\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tools\oocip\oicpppp\QQIEHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF20B4A-2B56-4C92-8B92-56FF2F7BB998}: NameServer = 202.96.64.68,202.96.75.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O21 - SSODL: WebSecurity - {3DD78ACF-0745-4532-94F8-A574457E1A81} - C:\WINDOWS\system32\PvSec.dll
O23 - Service: Network AutoCheck (AutoC) -  - C:\WINDOWS\system32\ntserv.exe
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\tools\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - "C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"
O23 - Service: VMware NAT Service (VMware NAT Service) - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Windows NT Service32 (Windows NT Service32) -  - C:\WINDOWS\system32\rundll32.exe" "c:\windows\system32\ntservice32.dll",start

接着顶哦!!
  是啊 不知道只要一触发什么东西他就又会给你下很多流氓软件进来 晕都晕死!!  来个高手 给点办法啊!!!

都不见人了 大家都睡了吗~~哎 明天再来瞧瞧

不知道有点到什么了 又复活了! 进程飚到37了  瑞星雨伞又被关了!!!!!!!!!!!!!!!

!!

我和它斗争了一天，终于把它搞定了。
首先准备几个工具：ICESWORD,SRENG(SYSTEM REPAIR ENGINEER)。
先在诊断模式下启动
然后要用SRENG删除NTSERVICE32的服务项。
接着用ICESWORD将含有"NTSERVIE32""DESKADP""DESKIPN""ZSTDP"的注册表项删除。
重启系统，删除以上文件。
后启动卡卡，清除。
如果用纯DOS 最好删这些文件。
也可象楼上说的，把硬盘挂到另个机器上，启动那个机器的系统，找到你的盘，将那些文件删除。
然后安装回你的机器上清理你的注册表和启动项，就OK.

我都跟它斗了半拉月拉，可惜知识有限，搞不定它，不能沉啊，大家继续顶啊，顶到解决为止

昨天公司的一台机子也中了桌面传媒，我在乱撞+查了N多资料，终于把他整死了。

先把文件和文件夹以及系统文件的隐藏属性全都关闭。
然后用symantec 10+最新的病毒库查了一次，杀掉了部分文件，具体什么文件有点搞忘了，只记得有c:\windows\system32\wnttech.dll
。
然后关闭IE和全部不需要的程序，把IE临时文件和cookie之类的清干净，到\Documents and Settings目录下把\Administrator\Local Settings\Temp\下面的文件全部删除，删除不掉的.exe和.dll文件一定要用icesword删除掉，注意当前用户名不见得是Administrator，所以建议把Documents and Settings目录打开后，把所有的目录全部找一道。
接着用网上查到信息做以下操作：
1.使用IceSword 删除c:windows\system32\ntservice32.dll
2.打开 运行--输入regedit--查找ntservice32.dll，找到一个之后值之后，弄清具体位置，进入IceSword提供的注册表，同样的位置删除这个值。
3.在regedit中按F3继续搜索有关值，继续使用IceSword删除，直至删除干净。
4.启动msconfig：禁止ntservice32.dll

然后重启，查看管理工具->服务里面Windows NT Service32是否已经没有启动，如果没有启动，查看有没有:
Remote Procedure Call System(RPCS) / RpcS
WindowsNt Workstation / NTWorkStan
WindowsNt Network Engine / wnttech
如果有全部停掉，我遇到的情况里是没有遇到这几个服务的，所以在在停止这几个服务时，一定看仔细了，如果Microsoft的就不用停了。
接着重启进入安全模式，启动icesword，使用它删除下列文件：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
c:\windows\system32\ntworkstan.dll
C:\WINDOWS\system32\RpcS.exe
c:\windows\system32\wnttech.dll
C:\WINDOWS\system32\NTService32.dll
C:\WINDOWS\Downloaded Program Files\839380\ExDLL.dll
C:\WINDOWS\system32\WebPageParser.dll
C:\WINDOWS\system32\Charset.dll
C:\WINDOWS\system32\CreateDomTree.dll
C:\WINDOWS\Downloaded Program Files\839380\fshook.dll
我在遇到的情况中，有部分文件我是没有遇到的，Downloaded Program Files目录下的数字子目录好像随机产生的，而且是两个所以请各位注意，数字子目录似乎删不了，但是一定要把里面的文件全删除了。
还有就是WebPageParser.dll等几个文件，实际上有两个，只是后缀名不一样，就跟在这个文件后面，一定要一起删除了。
注意：在找这些文件时，一定先按文件名排序，如果找到删除后，还要再排序一次，不然icesword又是乱序排列的。

然后重启正常启动，用icesword查看应该会发现:
C:\WINDOWS\system32\WebPageParser.dll
C:\WINDOWS\system32\Charset.dll
C:\WINDOWS\system32\CreateDomTree.dll
又已经生成，再次查资料，删除c:\windows\system32\drivers\service.dll以及上面三个dll文件，再次重启，启动卡卡，他会说发现deskipn，但是仔细看里面的项目，基本上没有文件加载，主要是注册表里面的残留项目，表明它实际上已经瘫痪。如果看起不爽，又有把握删除它们，可以逐项删除它们。

希望对各位有所帮助，给我的感觉是，杀毒软件还是有点作用，最好是先用杀毒软件查一道，再做上面的操作。还有IceSword最好是最新的，这里有下载的:http://www.ttian.net/website/2005/0829/391.html