瑞星卡卡安全论坛

我的电脑老是自己唱歌。自己说话。我什么都没开。在关电脑的一瞬间 还能看到一个网页！瑞星也杀不掉。这是毒么？怎么解决？高手教教我！~~跪求了！~~

附件: 9563902007107212905.txt

`呵呵，是因为你电脑的浏览器在后台自动打开N个网站导致的，我前两天才碰到过这样的问题，当时还听见《越狱》的声音呢，还有其他歌！咱俩的症状一样~~估计你的QQ也被盗了，可能你还不知道。
你到我发的“求助帖”看看，里面有高手的回答，昨晚我解决我的问题了，暂时性的，呵呵，测两天看看吧

你的求助贴怎么进？我是新手！不会啊？？？

楼主日志格式错误，看下面2篇贴在：
http://forum.ikaka.com/topic.asp?board=40&artid=8353388
http://forum.ikaka.com/topic.asp?board=40&artid=8363891

雪花啊。我这问题能解决不？能解决的话 说下。谢谢了！~~~

一、重启电脑进入安全模式，双击“我的电脑”--工具--文件夹选项--查看--勾选“显示系统文件和文件夹”，取消勾选“隐藏受保护的操作系统文件（推荐）”，之后勾选“显示所有的文件和文件夹”--确定--找到以下文件，分别改文件名为1.sys、2.dll、3.dll、4.sys、5.dat、6.win:
c:\program files\internet explorer\plugins\winsys88.sys
c:\windows\system32\avzxdmn.dll
c:\windows\system32\rsztcpm.dll
c:\program files\internet explorer\iexplore32.sys
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.win

二、重启电脑进入安全模式，开始--运行--输入regedit.exe--回车；

三、展开注册表编辑器左侧窗格的注册表树形目录，定位到[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]这个注册表项,单击项目左侧的“+”号，展开其子项，找到并删除其下列子项（右键在子项名称上点一下，选择“删除”）
<npkycryp>

四、展开注册表编辑器左侧窗格的注册表树形目录，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]这个注册表项,单击项目左侧的“+”号，展开其子项，找到并删除其下列子项（右键在子项名称上点一下，选择“删除”）：
{E418E9ED-9221-4661-B1F3-4AA35BD83832}
{4859245F-345D-BC13-AC4F-145D47DA34F4}
{334345F1-DACF-3452-CB7D-4620F34A1533}
{C5E87A05-F463-4841-B19E-DD3EC3862368}
{EE12D60D-AD9A-4095-B839-3BE6862679FD}
{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}

五、展开注册表编辑器左侧窗格的注册表树形目录，定位到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]，单击该项目，在注册表右侧窗格找到和删除<main>这个值项；

六、展开注册表编辑器左侧窗格的注册表树形目录，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]，单击该项目，在注册表右侧窗格找到<AppInit_DLLs>这个注册表值项，编辑该值项值为空（即删除c:\windows\system32\avzxdmn.dll这个字符串）；

七、重启电脑进入安全模式，找到和删除以下文件：
c:\program files\tencent\qq\npkycryp.sys
c:\program files\internet explorer\use071005.dll(注:也可能是use071008之类的文件名)
c:\program files\internet explorer\plugins\1.sys
c:\windows\system32\2.dll
c:\windows\system32\3.dll
c:\program files\internet explorer\4.sys
c:\program files\internet explorer\5.dat
c:\program files\internet explorer\6.win

八、安全模式下全盘杀毒。

说明：对c:\program files\internet explorer\use071005.dll这个文件是否为正常文件不能完全肯定，请将此文件压缩后提交瑞星研究，确认为病毒文件后再操作（也就是说，以上步骤的红项需要确认后再操作）。


发贴时间:2007-10-7 21:55:16 (高手教的,另,最新的瑞星能杀残余的毒了)