瑞星卡卡安全论坛

SRENG与XDELBOX是一对比较好的手工杀毒搭档。求助者将SRENG日志贴到论坛上后，我的回复一般是：

用XDELBOX删除下列文件（图1）；用SRENG删除下列注册表内容（略）。

得到这种回复，如果没有SRENG日志不能显示的病毒文件，求助者一般可以将病毒处理干净。
如果有SRENG日志不能显示的病毒文件，可能处理起来复杂些。具体的例子见：http://forum.ikaka.com/topic.asp?board=28&artid=8380038。
附件是XDELBOX。下载后，解压即可使用。




[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)


附件: 15584720071027175015.rar

这样回复了一段时间，发现具体操作中，求助者依然有种种问题。

今天特意为此写了这个帖子，给几个图，简述利用SRENG与XDELBOX手工杀群居病毒的基本操作。以方便新手操作。

1、求助者得到如图1显示的回复后，选中所有待删除文件（如图1）。然后，按ctrl_c，那些待删除文件名就全部拷贝到“剪贴板”上了。

图1

附件: 15584720071017164650.jpg

2、运行XDELBOX，右击待删除文件列表窗口。点击“从剪贴板导入”（图2）。

图2

附件: 15584720071017164732.jpg

3、上述操作完成后，待删除文件即可导入XDELBOX的“待删除文件列表”。然后，勾选“抑制再生”、“备份文件”（图3）。至此，病毒的死期已到。

图3

附件: 15584720071017164758.jpg

4、右击待删除文件列表窗口。点击“立即重启执行删除”（图4）。这时，系统会重启到DOS下，将待删除文件列表中的病毒文件一一删除。删除完成后，系统会自动重启到WINDOWS。

5、重启到WINDOWS后，用SRENG等工具，根据回帖内容，删除那些病毒加载项即可。

【提醒】XDELBOX也是.exe文件。如果没有恰当保护，遇到感染.exe文件的病毒，XDELBOX一样会被感染。后果吗，要么是运行XDELBOX就激活病毒；要么是用杀软清理后导致XDELBOX不能使用。这两种情况都见过。请使用者平时注意保护好这个工具。

图4

附件: 15584720071017164834.jpg

学习

呵呵

很不错呢

对一些顽固的守护类驱动程序也很有效

唯一的缺点就是麻烦了点~~

还有个缺点是，必须系统盘是C盘的才行。

喜欢将系统盘放在其他盘的，就不能用了。

LS两位高人,不到关键时候真的不出来ING~~~
我也来学习下,顶猫叔`~!!

引用:

【天月来了的贴子】还有个缺点是，必须系统盘是C盘的才行。 喜欢将系统盘放在其他盘的，就不能用了。 ………………

这是超越常规的代价。
但愿下一版XDELBOX支持非C系统分区

学习啦。我按这个试试。。谢谢班班。。这是我刚做的日志，可是我不知道哪个是病毒。。麻烦看下给发过病毒的TXT文件来。谢谢。。

附件: 93013920071017175035.txt

引用:

【伊菲的贴子】学习啦。我按这个试试。。谢谢班班。。这是我刚做的日志，可是我不知道哪个是病毒。。麻烦看下给发过病毒的TXT文件来。谢谢。。 ………………

用XDELBOX删除下列文件：

E:\Autorun.inf
E:\system.pif
F:\Autorun.inf
F:\system.pif

【回复“baohe”的帖子】谢谢了。。
我刚才把原来你我的图片上的所有文件都试了一下，有四个文件能找到，我就执行重启删除了，病毒是删了，可是E盘和F盘双击还是打不开。。我一双击系统提示以何种方式打开

【回复“baohe”的帖子】
我又按你说的，又进行了删除，结果E、F盘全能双击打开了，谢谢。。真是太感谢了。。。祝你好运。。。我要下班了，再见。

猫叔真用功,产量真高,2,3天出篇新文章.
一直在偷学.谢谢猫叔.

这一对组合工具还没用过，先学习了。

谢谢楼主,又学一招.不过很难找到这些病毒文件哦

额~~~学习了~~~

3Q:)

问一下，前几天试用XDELBOX删除一个顽固文件。添加文件后，右击待删除文件列表窗口，点击“立即重启执行删除”。可是，等好久机子不会自动重启。手动点击程序－关机－重启后，在进入windows的时候，提示c：\boot.ini非法，但是仍然可以进入widowsxp。这是怎么回事？

引用:

【kingevil的贴子】问一下，前几天试用XDELBOX删除一个顽固文件。添加文件后，右击待删除文件列表窗口，点击“立即重启执行删除”。可是，等好久机子不会自动重启。手动点击程序－关机－重启后，在进入windows的时候，提示c：\boot.ini非法，但是仍然可以进入widowsxp。这是怎么回事？ ………………

你这样操作，c:\boot.ini中留下了c:\grldr=Go XDelBox To Del Files，你自己用记事本打开这个文件，将其中的c:\grldr=Go XDelBox To Del Files删除即可。这是DEXLBOX临时添加的，目的是执行重启删除文件时给用户一个提示，选择进入DOS下，用XDELBOX删除指定的待删除文件。
如果正常完成文件删除后并自动重启，boot.ini中的c:\grldr=Go XDelBox To Del Files会被XDELBOX删除。

就这么回事。

引用:

【baohe的贴子】 你这样操作，c:\boot.ini中留下了c:\grldr=Go XDelBox To Del Files，你自己用记事本打开这个文件，将其中的c:\grldr=Go XDelBox To Del Files删除即可。这是DEXLBOX临时添加的，目的是执行重启删除文件时给用户一个提示，选择进入DOS下，用XDELBOX删除指定的待删除文件。 如果正常完成文件删除后并自动重启，boot.ini中的c:\grldr=Go XDelBox To Del Files会被XDELBOX删除。 就这么回事。 ………………

谢谢。boot.ini的问题已经解决。

还想问一下，为什么那次用XDelBox删除的时候不能自动重启呢？不会是和XDelBox存放的路径有关吧？？

XDelBox的使用还需注意什么？

引用:

【kingevil的贴子】 谢谢。boot.ini的问题已经解决。 还想问一下，为什么那次用XDelBox删除的时候不能自动重启呢？不会是和XDelBox存放的路径有关吧？？ XDelBox的使用还需注意什么？ ………………

据说，目前版本的XDELBOX仅支持安装在C盘的系统。使用前，应注意这个限制。
用XDELBOX删除难缠病毒文件时，建议勾选“抑制再生”、“备份文件”。前者目的是使删除操作彻底，后者是给自己留后路，防治误删文件。

这两个工具配合真的很实用, 鄙人虽然只会用两个中的几个功能!
看了猫叔的贴 -.- 受益非浅 

谢谢老猫，我也是在偷学，嘿嘿，不过时间不长，感觉来了这里处理问题方便快捷多了

呵呵～

以前一直都是SREng配合冰刃，感觉杀毒已经够狠了～～

现在又多了一个“狠”工具～～

偷学了～～～

【回复“baohe”的帖子】
laji laji

引用:

【lixiaoluo的贴子】【回复“baohe”的帖子】 laji laji ………………

我看你才是laji

引用:

【baohe的贴子】 我看你才是laji ………………

嘻嘻。

猫猫也有无奈时

大哥帮我看下我看不懂呀！
[CODE]

2007-10-19,16:58:21

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <Super Rabbit IEPro><D:\MagicSet\SRIECLI.EXE /LOAD>  [Super Rabbit Soft]
    <MsnMsgr><; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background>  [(Verified)Microsoft Corporation]
    <Skype><; "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized>  [(Verified)Skype Technologies SA]
    <WMPNSCFG><; C:\Program Files\Windows Media Player\WMPNSCFG.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <run><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavMon.exe><D:\Rising\Rav\RavMon.exe>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
    <RavTask><"D:\Rising\Rav\RavTask.exe" -system>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
    <RfwMain><"D:\Rising\Rfw\rfwmain.exe" -Startup>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
    <KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [N/A]
    <Knight V><; >  [N/A]
    <miniqqlive><; "E:\QQLive\MiniQQLive.exe">  [N/A]
    <nwiz><; nwiz.exe /install>  []
    <snpstd3><; C:\WINDOWS\vsnpstd3.exe>  []
    <Storm2Set><; C:\WINDOWS\system32\rundll32.exe "D:\暴风影音\StormSet.dll",CheckEnv>  [(Verified)Beijing Baofeng Inc.]
    <WebThunder><; "D:\WebThunder\WebThunder.exe" /autostart>  [深圳市迅雷网络技术有限公司]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><C:\WINDOWS\system32\Tebokite.dll C:\WINDOWS\system32\Tebokite.dll>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
    <IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]

==================================
启动文件夹
N/A

==================================
服务
[Adobe LM Service / Adobe LM Service][Stopped/Manual Start]
  <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[BoBoTurbo / BoBoTurbo][Stopped/Auto Start]
  <C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe><广州易播信息科技有限公司>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
  <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[Chinese Paladin 4 CN Drivers Auto Removal (pr2ach4f) / pr2ach4f][Stopped/Auto Start]
  <C:\WINDOWS\system32\pr2ach4f.exe svc><SOFTSTAR>
[Rising Proxy  Service / RfwProxySrv][Running/Auto Start]
  <d:\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService][Running/Auto Start]
  <d:\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
  <"D:\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
  <"D:\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
[SoundMAX Agent Service / SoundMAX Agent Service (default)][Running/Auto Start]
  <C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe><Analog Devices, Inc.>

==================================