瑞星卡卡安全论坛

我用360safe 和 卡卡  都试过 重起还有  小弟在此求大侠们帮忙

windows清理助手

谢

桌面传媒哪里有下？我怎么找不着
给个地址，我试试

...............................

供各位大侠把玩。。。。
玩完了记的告诉我怎么解决的。。。
小弟就是这样中招的。。。。。。。

h**p://www.game269.com/sof*/191.h*m 病毒

大侠们把*改成t,菜鸟级的就别步我后尘了。。。

windows清理助手
下载主页：http://www.arswp.com/

把玩玩了，果然是好东西，简直就是流氓软件精华合集h**p://www.game269.com/sof*/191.h*m 病毒，原来桌面传媒就是软告公司阿，就是IEBAR、万能搜索之类的
－－－－－－－－－－－－－－－－－－－－－－－－
用的工具很简单VM虚拟的干净的XP SP2, 系统监视工具WINPOOCH,老毛桃PE光盘,360SAFE和WINDOWS清理大师在线版两种清理工具
现在开始安装“流氓软件精华合集”
先打开WINPOOCH,设置规则记录所有对文件、注册表的操作
主要监视到的威胁操作：
10582.exe释放文件
C:\WINDOWS\system32\SCIntruder32.dll
C:\WINDOWS\system32\SCIntruder.dll
C:\WINDOWS\system32\quqkke34.dll
C:\WINDOWS\system32\drivers\quqkke34.dll
----------------------------------------
Uhk83zx.exe释放文件
C:\WINDOWS\system32\CharSet.dll、C:\WINDOWS\system32\CreateDomTree.dll
----------------------------------------
setup.exe释放文件
C:\WINDOWS\system32\IeBar1.dll
----------------------------------------
mms.exe释放文件
C:\WINDOWS\wininit.ini
----------------------------------------
YLive.exe释放文件
C:\WINDOWS\system32\cns.exe
C:\WINDOWS\system32\Webmail.dll
----------------------------------------
还有这个，试图杀死某个进程！！kav.exe是谁？
C:\WINDOWS\system32\csrss.exe (640)
Reason = Sys::KillProcess
Param 1 = c:\windows\system\Microsoft\kav.exe
----------------------------------------
安装非即插即用驱动程序
ncqaqisys 北京三七二一科技有限公司c:\windows\system32\drivers\ncqaqi.sys
quqkke34                c:\windows\system32\drivers\quqkke34.sys
SecdrvSafeDisc driverc:\windows\system32\drivers\secdrv.sys
RestoreService                  c:\windows\system32\drivers\msprotect.sys
-------------------------------------
可疑系统服务
RestoreService
支持系统恢复功能
C:\WINDOWS\system32\Svchost.exe -k RestoreService

imsvc
无描述
C:\WINDOWS\System32\svchost.exe -k netsvcs
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

注册表的监视中还有中搜之类的键值，暂时不用管注册表，文件清除干净了，注册表里的键值就成了垃圾，事后处理也不晚。
因为是“合集”包含了YAHOO助手，3721，彩信通，IEBAR，中搜等等，具体桌面传媒是哪一个，从字面上看我只能看出IEBAR,这么多...也不适合手动清除，先看看360safe V2.2吧，清理、重启了2次后，显示桌面传媒、3721、yahoo助手还有高危残留，我察看了非即插即用驱动，那些非法驱动一个都没少...，不过其它的流氓软件都清理了。换windows清理大师试试，同样也是清理、重启了2遍，发现3721和yahoo助手没了，还剩一项RestoreService无法清除。这时再用360safe检测一遍，发现也同样剩一个了，正是“桌面传媒”！那么可能这两个清理软件指的是一个东西就是“桌面传媒”，这两项报告刚好对应c:\windows\system32\drivers\msprotect.sys和c:\windows\system32\drivers\quqkke34.sys、C:\WINDOWS\system32\quqkke34.dll这3个监视报告。现在两个工具都无法清除，那么手动了，先打开系统服务，找到imsvc服务停止、禁用；RestoreService服务停止、禁用。再打开设备管理器→查看→显示隐藏的设备→非即插即用设备，卸载驱动ncqaqi、quqkke34、secdrv、msprotect。立即重启，并进入PE光盘系统（DOS也可以，只不过PE系统更直观些，对于现在的计算机维护PE光盘是必备的工具），按照监视日志查找并删除相应的exe、dll和sys文件，重启后，用360扫描、清理后桌面传媒消失了，用windows清理大师扫描清理RestoreService仍然存在，查看相应的文件和服务都没有了阿，百思不得其解....无奈想到是不是在线版的不好用，于是就升级到完整版扫描了一下，这下显示没有了！！我晕！！在线版是差了一点。
到此为止，系统恢复正常，IE也正常，使用了半个小时没有任何AD跳出。写这个日志整理花了好长时间...
补充一句：记得清空TEMP文件夹

有简便的删除方法吗 上面大大说的很多不理解!~~
方法能说的清楚点吗

说白了，先用工具清理一下，然后再在PE系统下或DOS下删除
c:\windows\system32\drivers\下的ncqaqi.sys、quqkke34.sys、secdrv.sys、msprotect.sys文件，重启后再用工具清理一下就可以了
－－－－－－－－－－－－－－－－－－－－－－
清理这种流氓软件并不难，例如用syscheck（wangsea.ys168.com有下）查看非微软服务，注意那些启动运行的驱动的公司信息和安装时间，很容易就判断出那些是不正常的驱动，就是因为这些驱动所以流氓软件自我保护了，这些驱动都在c:\windows\system32\drivers\下，删除就可以了

太感谢 eblise 大侠了～超赞！！
不过，偶是超级菜鸟，嘿嘿，偶唯一会弄的就是下软件，然后点按钮了。。。。。先是兔子，然后卡卡，然后windows清理助手.现在好像症状没了，不知道是不是已经好了，但每次扫描都能出来，还望大侠出手相救，把它的根给除了>.<,小弟先谢过～

卡卡显示的
桌面传媒Deskipn
C:\WINDOWS\system32\CharSet.dll  (存在)
C:\WINDOWS\system32\WebPageParser.dll  (存在)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control <SystemStartID>=[D6D6D6D6]  (存在)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control <SystemStartID>=[D6D6D6D6]  (存在)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control <SystemStartID>=[D6D6D6D6]  (存在)

Windows清理助手显示的
Deskipn桌面传媒
HKEY_CURRENT_USER\Software\Mircrosoft\Windows\CurrentVersion\Ext\Stats\{08A312BB-5409-49FC-9347-54BB7D069AC6}

附加弱弱的问下，PE是啥东东？win98老虎头么？

嘿嘿

别小我哈

PE就是运行在光盘上的系统，和硬盘上的没有关系，所以你可以对硬盘上的数据进行任何操作，在百度上搜一下很多下载的，比较实用的就是ERD2005 PE和老毛桃PE XP,老毛桃的中文版好用些，而且还支持网络，需要刻盘使用。
－－－－－－－－－－－－－－－－－－－－－－－－
象你的这种情况
桌面传媒Deskipn
C:\WINDOWS\system32\CharSet.dll (存在)
C:\WINDOWS\system32\WebPageParser.dll (存在)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control <SystemStartID>=[D6D6D6D6] (存在)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control <SystemStartID>=[D6D6D6D6] (存在)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control <SystemStartID>=[D6D6D6D6] (存在)

C:\WINDOWS\system32\CharSet.dll这个我也有
另外3个注册表键值很可能关联了...\control\serveice服务，所以可疑怀疑在你的c:\windows\system32\drivers\下肯定有桌面传媒的驱动服务文件，后缀sys,你可以参考我上面列出的文件，如果有用PE工具删除它，没有的话可能是换了名字了，查看它的公司信息和安装时间，非微软的都值得怀疑。最好你能用syscheck这个工具把非微软的驱动服务弄个列表上来看看
SYSCHECK在wangsea.ys168.com有下

C:\WINDOWS\system32\SCIntruder32.dll
C:\WINDOWS\system32\SCIntruder.dll
C:\WINDOWS\system32\quqkke34.dll
C:\WINDOWS\system32\drivers\quqkke34.dll  我中的就是这种!请问各位:怎么解决它啊?
还有下面的3种用卡卡删不掉啊~求助:

附件: 80743820061220135520.BMP

好难搞啊。。DOS是纯DOS下吗？？

长空一长箭  告诉我的  windows清理助手  我用了 效果不错  杀掉了    谢谢各位 大侠

谢谢 eblise　大侠，偶终于明白什么是PE了，哇咔咔卡壳卡．．．

研究一下午，终于知道怎么弄了

是不是这个？

附件: 80698620061220233853.JPG

偶唯一知道的就是那个叫 Crypkey 的应该不是好东东，每次都干掉它．．．．每次重启它都出来．．．．其他的就不认识了

希望卡卡出一个专门杀桌面传媒的工具来,现在中招的人太多了,我是菜鸟,看不懂啊

可能是卡卡这边比较忙吧，也可能是我比较笨，一直没有解决．．．

后来到windows清理助手论坛，西门大侠远程协助帮我清理掉了．

非常感谢eblise大侠的帮助，还讲解了PE，长见识了，是由于偶太菜才一直没弄好，嘿嘿

估计windows清理助手下个升级就能解决桌面媒体了，也希望卡卡能早日解决

最后，祝卡卡越办越好～

大侠们的解决办法都是高手级的哈
希望顶出卡卡的简单操作可以搞定
那样就不用经常被强制“邀请”去搞这种可恶的“传媒”了

还有这么多的兄弟中 桌面传媒 啊    版主说的windows清理助手
下载主页：http://www.arswp.com/  可以清的  中招的兄弟们试试吧 ！