瑞星卡卡安全论坛

我的瑞星是最新版本的，昨天监控突然关闭了，杀完毒，老是提示我病毒重启后删除，但是重启后还一直有，就是这几个，AVPSRV.DLL,kvsc3.dll,NVDispDrv.dll, 在安全模式里找不到这几个文件，删除不了，不知道这病毒厉害不，我机子里有很多资料，不想重装了，各位大侠有什么好办法么，多谢了
  日志附在附件里了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)


附件: 7395022007910130813.txt

首先重命名以下文件
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\ztmpri.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\wddpri.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目  注册表 删除如下项目
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  [N/A]
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  [N/A]
    <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>  [N/A]
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
<MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
<{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>  [N/A]
    <{1231A43A-1642-641A-64FD-146ADAB223B1}><C:\WINDOWS\system32\mxaman.dll>  [N/A]
    <{D1351752-5628-1547-FFAB-BADC13512AFD}><C:\WINDOWS\system32\ztmpri.dll>  [N/A]
    <{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll>  [N/A]
    <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>  [N/A]


双击AppInit_DLLs把器键值改为空




双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击C盘（千万不要双击打开）
删除如下文件 [C:\WINDOWS\system32\rsjzapm.dll]  [N/A, ]
    [C:\WINDOWS\system32\LYMANGR.DLL]  [N/A, ]
[C:\WINDOWS\system32\rsjzapm.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
    [C:\WINDOWS\system32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  [N/A]
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  [N/A]
    <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>  [N/A]
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>  [N/A]
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\ztmpri.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\wddpri.dll

修改你的各种网络游戏密码（包括QQ）

附：此类病毒一般通过U盘等移动存储传播，所以如果你电脑最近有插过移动存储，那么

大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒，烦请大家做好如下预防工作，不要再让这类病毒扩散了。（这种

东西下载的木马很多，看日志眼都会花的）

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“

计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单

中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有

驱动器”，最后确定保存即可。

2.锁住某些注册表权限
开始－运行－输入regedit,展开

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mo

untPoints2，右键单击这个键，权限，把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器：http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法！！！


最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入U盘（同上面清除病毒时打开磁盘分区的方法)

恩，好复杂啊，我去试试，原来是通过U盘传播的
谢谢了

- -#木马窝

运行SREng,删除注册表启动项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  [N/A]
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  [N/A]
    <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>  [N/A]
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>  [N/A]
    <{1231A43A-1642-641A-64FD-146ADAB223B1}><C:\WINDOWS\system32\mxaman.dll>  [N/A]
    <{D1351752-5628-1547-FFAB-BADC13512AFD}><C:\WINDOWS\system32\ztmpri.dll>  [N/A]
    <{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll>  [N/A]
    <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>  [N/A]

    <{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>  []
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  []

用SREng编辑AppInit_DLLs的键值为空
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><rsjzapm.dll>  []

重起机器进入安全模式下用冰刃删除下面的文件（部分有可能已经被杀软干掉）：
C:\WINDOWS\MsIMMs32.exe>  []
C:\WINDOWS\mppds.exe>  []
C:\WINDOWS\upxdnd.exe>  []
C:\WINDOWS\cmdbcs.exe>  []
C:\WINDOWS\Kvsc3.exe>  [N/A]
C:\WINDOWS\AVPSrv.exe>  [N/A]
C:\WINDOWS\NVDispDrv.exe>  [N/A]
C:\WINDOWS\DbgHlp32.exe>  []
C:\WINDOWS\system32\mxaman.dll>  [N/A]
C:\WINDOWS\system32\ztmpri.dll>  [N/A]
C:\WINDOWS\system32\jhapri.dll>  [N/A]
C:\WINDOWS\system32\wddpri.dll>  [N/A]
C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>  []
C:\WINDOWS\system32\rsjzapm.dll>  []
[C:\WINDOWS\system32\LYMANGR.DLL]
[C:\WINDOWS\system32\DiskMan32.dll
[C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
    [C:\WINDOWS\system32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    C:\WINDOWS\SYSTEM32\RSJZASP.EXE

全盘杀毒。建议安装卡巴进行全盘查杀

冰刃下载：http://www.crsky.com/soft/6947.html

1楼的大侠
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\ztmpri.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\wddpri.dll
这几个文件我找不到，无法修改
双击AppInit_DLLs把器键值改为空
这个改了以后没办法保存，点确定以后，一刷新就又回去了

进了安全模式
[C:\WINDOWS\system32\rsjzapm.dll] [N/A, ]怎么样都无法刪除
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]安全模式找不到

[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]安全模式找不到
<Kvsc3><C:\WINDOWS\Kvsc3.exe> [N/A]找不到
<AVPSrv><C:\WINDOWS\AVPSrv.exe> [N/A]找不到
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> [N/A]找不到
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll> [N/A]找不到

好像只解决了一个，还是有两个病毒存在

C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\ztmpri.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\wddpri.dll
这几个要先改名，再重起删除
然后再清除注册表里的DD
找不到，估计是隐藏的，用冰刃应该可以找到

上面的大侠们，我无语了，用冰刃也找不到这几个文件
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\ztmpri.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\wddpri.dll


[C:\WINDOWS\system32\rsjzapm.dll] [N/A, ]怎么样都无法刪除
用冰刃删了，但是还有

C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll> [N/A]找不到

还是老样子，病毒这么顽固啊，我疯掉了