瑞星卡卡安全论坛

昨天为了下载OFFICE 进了一个网站 一进去IE就死了 然后发现电脑就有漏洞了 现在还提示Trojan.PSW.Win32.RocOnline.cx这个病毒 每次开机10几分钟后就显示有这个病毒 杀掉后机子会变的非常的卡 重启后还是一样 过10几分钟后又会提示有这个病毒 请问这个是怎么回事？~~

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; (R1 1.5))

没人解答吗~~~~~~~

http://download.kztechs.com/files/sreng2.zip  下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

附件里就是扫描后的报告~~~~

附件: 9398462007910191308.txt

清除注册表项目：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RegNetPass><C:\WINDOWS\system32\regcsp.exe>  []
    <ravgjmon><C:\Program Files\NetMeeting\ravgjmon.exe>  []
    <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>  []
    <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>  []
删除驱动：
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

找出文件：
C:\Program Files\NetMeeting\ravgjmon.exe>  []
C:\Program Files\NetMeeting\ravwdmon.exe>  []
C:\Program Files\NetMeeting\ravmsmon.exe>  []
C:\WINDOWS\system32\regcsp.exe>
删除


找出文件：
C:\Program Files\NetMeeting\ravgjmon.dll>  []
C:\Program Files\NetMeeting\ravwdmon.dll>  []
C:\Program Files\NetMeeting\ravmsmon.dll>  []
C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>  []
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>  []
C:\WINDOWS\system32\rsztapm.dll>  []
C:\WINDOWS\system32\myhpri.dll>  [N/A]
C:\WINDOWS\system32\avzxamn.dll>  []
C:\WINDOWS\system32\rsjzapm.dll>  []
C:\WINDOWS\system32\kvmxbma.dll>  []
C:\WINDOWS\system32\rarjapi.dll>  []
C:\WINDOWS\system32\kafyczy.dll>  []
C:\WINDOWS\system32\avwlamn.dll>  []

依次改名（名字最好有规律，便于重起后查找）

重起，进入安全模式（开机按F8）
删除改名文件

删除文件
C:\WINDOWS\system32\npkycryp.sys

使用SRENG 清除注册表项目：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>  []
    <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>  []
    <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll>  []
    <{8562452F-FA36-BA4F-892A-FF5FBBAC5318}><C:\WINDOWS\system32\myhpri.dll>  [N/A]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>  []
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  []
    <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll>  []
    <{1598FF45-DA60-F48A-BC43-10AC47853D51}><C:\WINDOWS\system32\rarjapi.dll>  []
    <{3B681598-AD5F-BC8C-77DC-748FAC8D3FB3}><C:\WINDOWS\system32\kafyczy.dll>  []
    <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>  []

设置
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsjzapm.dll>  []
为空

打开我的电脑——工具——文件夹选项——查看——显示隐藏文件——隐藏受保护的系统文件（勾去掉）——确定 
（如果不能显示隐藏文件，用卡卡助手中的高级功能——IE及系统修复——修复显示隐藏文件）

用WINRAR找出
E盘的Autorun.inf和AutoRun.exe  删除
用SRENG修复HOSTS文件
HOSTS 文件
127.0.0.1      localhost
127.0.0.1 mmsk.cn
127.0.0.1 bbs.mmsk.cn
127.0.0.1 www.mmsk.cn
127.0.0.1 soudong.com
127.0.0.1 www.soudong.com

重起杀毒

楼上的仁兄是和我说的吗？
如果重新做系统的话这个病毒可以除掉吗？如果可以我就直接重新做系统了 就怕做了系统还除不掉~

引用:

【notolove的贴子】楼上的仁兄是和我说的吗？ 如果重新做系统的话这个病毒可以除掉吗？如果可以我就直接重新做系统了 就怕做了系统还除不掉~ ………………

晕，当然是跟你说的咯

你要做系统可以搞掉啊，但是要做好以后要把
E盘的autorun.inf  autorun.exe
删除才行

千万不要双击打开E盘，显示隐藏文件以后，用WINRAR打开E盘删除，或者用资源管理器找出删除都可以

谢谢了 我知道了~~~~