瑞星卡卡安全论坛

重启了一下，毒好像还在，，刚刚扫描的时候我开着360安全卫士，现在关了它再扫了一遍，版主快来

附件: 9309302007826185245.txt

我是楼主，，，这还有一张，360的

附件: 9309302007826170328.jpg

Logfile of HijackThis v1.99.1
Scan saved at 17:30:50, on 2007-8-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\360safe\safemon\360tray.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FRANK~1.MY-\LOCALS~1\Temp\Rar$EX00.437\HijackThis.exe
C:\DOCUME~1\FRANK~1.MY-\LOCALS~1\Temp\Rar$EX03.000\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_007.dll
O2 - BHO: NavigatMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [360Safetray] C:\Program Files\360safe\safemon\360tray.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe (file missing)
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe (file missing)
O9 - Extra button: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: tlupri.dll
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

这是日志

扫描sreng日志
下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

日志

附件: 9309302007826180740.txt

SREng-启动项目->注册表->删除以下启动项目
    <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>  []
    <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>  []
    <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>  []
    <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\tlupri.dll>  []
    <{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll>  []
    <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll>  []
    <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>  []
    <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>  []

编辑    <AppInit_DLLs><wddpri.dll>  []
为    <AppInit_DLLs><>  []

下载冰刃删除以下文件
http://www.ttian.net/website/2005/0829/391.html
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\WINDOWS\system32\dhdpri.dll
C:\WINDOWS\system32\wddpri.dll
C:\WINDOWS\system32\qjgpri.dll
C:\WINDOWS\system32\jzipri.dll
C:\WINDOWS\system32\qhepri.dll
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\WINDOWS\system32\DbgHlp32.dll

首先重命名以下文件(随便命名，并且记住你命名的名字）
c:\windows\system32\dhdpri.dll
c:\windows\system32\jzipri.dll
c:\windows\system32\qhepri.dll
c:\windows\system32\qjgpri.dll
c:\windows\system32\wddpri.dll
c:\windows\system32\tlupri.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目  注册表 删除如下项目
[{56368135-64FA-BC34-DA32-DCF4FD431C95}]    <C:\WINDOWS\system32\qhepri.dll>
[{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>
[{959AFD5B-159F-ACD8-954C-ACD545FA6589}]    <C:\WINDOWS\system32\jzipri.dll>
[{74123FF1-8371-9834-9021-184518451FA7}]    <C:\WINDOWS\system32\qjgpri.dll>
[{A12BC423-3713-224D-3F55-32B35C62B11A}]    <C:\WINDOWS\system32\tlupri.dll>
[{4F12545B-1212-1314-5679-4512ACEF8904}]    <C:\WINDOWS\system32\wddpri.dll>
[{42311A42-AC1B-158F-FD32-5674345F23A4}]    <C:\WINDOWS\system32\dhdpri.dll>
[{0EA66AD2-CF26-2E23-532B-B292E22F3266}]    <C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>

双击AppInit_DLLs把器键值改为空

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入C盘
删除如下文件
c:\windows\system32\tlupri.dll
c:\program files\internet explorer\plugins\newtemp.dll
c:\program files\internet explorer\plugins\winsys64.sys
c:\windows\system32\dbghlp32.dll
c:\windows\system32\dhdpri.dll
c:\windows\system32\jzipri.dll
c:\windows\system32\qhepri.dll
c:\windows\system32\qjgpri.dll
c:\windows\system32\wddpri.dll
修改你的游戏以及QQ帐号密码

我连QQ都米有装………………
PS：我够火星吧！

来看看撒

附件: 9309302007826185307.txt

没事了

哦，是吗。谢谢斑竹，，我是个菜鸟，想问一下那里可以学这种东西？