瑞星卡卡安全论坛

昨天看网页  不小心 中招了

本来以为是个小木马,或是下载器什么的.没当回事.

今天起来,发现瑞星所有监控不能启动了 而且启动瑞星主程序 就报错

后来在网上查了查资料 发现很像"帕虫"  随即下了个 专杀

现在的情况是 瑞星主程序可以启动 并且杀毒结果 显示没有病毒了

可是监控还是起不来.

强行启动监控,只要打开文件系统 就会自动关闭所有监控.



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

补一个 卡卡助手的进程监控记录(杀完毒后的.) 现在依然存在 自动关闭监控的现象.

一会我会从装一次RAV

经过几次查杀,现在文件系统已经恢复了.但是 打开IE(原始IE浏览器)依然会导致 瑞星监控自动关闭.

并且使用 瑞星下载版  金山在线杀毒(实在没辙临时买了1个月的包月) 都查不出来问题

打开System Repair Engineer 2.5 提示API HOOK



附件: 926268200782701200.jpg

需要我提供什么LOG之类的...斑竹请回我帖....

在线等...

是不是瑞星监控相关文件损坏了？升级看看？不行就卸载重装RAV

最简单的办法就是出现装一下瑞星，更新病毒库，安全模式下杀毒看一下

现在 监控是可以启动的,但是只要打开文件系统

"比如我打开我的电脑=>C:\" 就会停止监控

很类似 "帕虫" AUTORUN的模式..

下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

首先在工具－文件夹选项里，显示隐藏文件和系统文件、显示文件扩展名。
如果不行就改下注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
修改这个
CheckedValue = dword:00000001

不要双击硬盘盘符，要用右键－打开，然后看有没有隐藏的autorun.inf文件，删掉，基本可以。

System Repair Engineer 的扫描报告..

附件: 9262682007826190908.rar

引用:

【鸽子妹妹的贴子】首先在工具－文件夹选项里，显示隐藏文件和系统文件、显示文件扩展名。 如果不行就改下注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 修改这个 CheckedValue = dword:00000001 不要双击硬盘盘符，要用右键－打开，然后看有没有隐藏的autorun.inf文件，删掉，基本可以。 ………………

我已经在组策略里面 把 自动运行关闭了...

顶!!!

参考http://forum.ikaka.com/topic.asp?board=28&artid=8351280

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\msplrct.dll
c:\program files\common files\goskdl.dll
c:\windows\system32\mydoor0.dll
c:\windows\system32\tldoor0.dll
c:\windows\system32\wgdoor0.dll
c:\windows\system32\rxdoor0.dll
c:\windows\system32\jtdoor0.dll
c:\windows\system32\wodoor0.dll
c:\windows\system32\qhdoor0.dll
c:\windows\system32\mhdoor0.dll
c:\windows\system32\zxdoor0.dll
c:\windows\system32\wldoor0.dll
c:\windows\system32\wddoor0.dll
c:\windows\system32\dadoor0.dll
c:\windows\system32\qjdoor0.dll
c:\windows\system32\ztdoor0.dll
hook qh
hook zx
hook tl
hook wl
hook qj
hook jt
hook wo


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}]    <C:\WINDOWS\system32\mydoor0.dll>
[{08E909A4-B236-48DD-8BCC-90A604B93E68}]    <C:\WINDOWS\system32\tldoor0.dll>
[{A3C95A74-638D-4C6B-A856-4B27664A7F47}]    <C:\WINDOWS\system32\wgdoor0.dll>
[{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}]    <C:\WINDOWS\system32\rxdoor0.dll>
[{71046DD5-E136-4C4B-A6B5-91C30CB15291}]    <C:\WINDOWS\system32\jtdoor0.dll>
[{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}]    <C:\WINDOWS\system32\wodoor0.dll>
[{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}]    <C:\WINDOWS\system32\qhdoor0.dll>
[{3422FB0F-95EB-458A-8B56-39552017A4EF}]    <C:\WINDOWS\system32\mhdoor0.dll>
[{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}]    <C:\WINDOWS\system32\zxdoor0.dll>
[{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}]    <C:\WINDOWS\system32\wldoor0.dll>
[{68F7767A-090C-4BBF-A015-720ACC6706E2}]    <C:\WINDOWS\system32\wddoor0.dll>
[{D8CC4845-441C-44F8-9053-28F2EF67655B}]    <C:\WINDOWS\system32\dadoor0.dll>
[{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}]    <C:\WINDOWS\system32\qjdoor0.dll>
[{E952B8F8-D91A-4EDD-851C-EE1A0F944469}]    <C:\WINDOWS\system32\ztdoor0.dll>
[?{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}]    <hook qh>
[?{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}]    <hook zx>
[?{08E909A4-B236-48DD-8BCC-90A604B93E68}]    <hook tl>
[?{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}]    <hook wl>
[?{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}]    <hook qj>
[?{71046DD5-E136-4C4B-A6B5-91C30CB15291}]    <hook jt>
[?{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}]    <hook wo>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Windows SystemDown / WindowsDown]    <>

我感觉是不是一般病毒都是先攻击杀度软件啊,可怜哎

我也觉得应该重新安装瑞星，然后升级到最新版本以后再查杀

真可怜.非重装系统莫属了.一键还原.几分钟就搞定了

pagefile.pif病毒