瑞星卡卡安全论坛

救救我吧，前天查出7个，后来用瑞星杀说没病毒，我下了个木马杀客也查不出。
结果昨天上网变8个了
以下是我用瑞星卡卡查出的:
流行木马(106).Ini C:\WINDOWS\system32\mppds.dll
流行木马(119).Ini C:\WINDOWS\system32\msccrt.dll
流行木马(222).Ini C:\WINDOWS\system32\upxdnd.dll
流行木马(29).Ini C:\WINDOWS\system32\cmdbcs.dll
流行木马(456).Ini C:\WINDOWS\system32\LYLOADER.EXE
流行木马(472).Ini C:\WINDOWS\system32\AVPSrv.dll
流行木马(521).Ini C:\WINDOWS\system32\MsIMMs32.dll
流行木马(90).Ini C:\WINDOWS\system32\Kvsc3.dll
谁教教我怎么杀吧，最好是简单易懂点的，我都快疯掉了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

SRENG的使用方法
http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1

额````，恶心的木马群，按2楼的做吧。

http://download.kztechs.com/files/sreng2.zip这个网址的下不了，我吓了http://www4.skycn.com/soft/23312.html这个的扫得，行不

TEXT1是我昨天杀过毒后，今天上网前扫得结果

附件: 96707820071025195837.txt

TEXT2是我上网时候扫到的结果

附件: 96707820071025195955.txt

还有卡卡的扫描

附件: 96707820071025200316.jpg

PIC 2

附件: 96707820071025200412.jpg

建议在安全模式查杀后重启后再看看，应该可以清除掉，不行的话按路径找到文件后手动删除！

下载 arswp清理助手: http://www.arswp.com/
下载XDelbox1.5删除工具: http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902
下载完后断开网络.
打开XDelbox1.5勾选“抑制再生”、“备份文件”（为误操作留条后路）。把以下路径添加进去(或者复制下面路径然后点xdelbox右键"从剪贴板导入),然后点右键,立即重启并删除.(如果提示不存在点确定就是)
C:\WINDOWS\limkar.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\IGM.exe
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\GenProtect.exe
C:\WINDOWS\system32\MFMJEXE.exe
C:\WINDOWS\swchost.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\D50456D1.EXE
C:\WINDOWS\system32\6DCD4337.EXE
C:\WINDOWS\system32\new.sys
C:\WINDOWS\system32\B43922A7.DLL
C:\WINDOWS\system32\E376CD4.DLL
C:\WINDOWS\system32\winforms.dll
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\zinforms.dll
C:\WINDOWS\system32\rfctkf.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\cdgrdt.dll
C:\WINDOWS\system32\ryssbo.dll
C:\WINDOWS\system32\dmzdsd.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\dtqqdn.dll
C:\WINDOWS\system32\vsavaf.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\ytityw.dll
C:\WINDOWS\system32\qrtgdi.dll
C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
C:\auto.exe
D:\auto.exe
E:\auto.exe
F:\auto.exe
重启电脑后，让电脑自动进入“GO XDELBOX***”杀灭以上文件后登陆系统（中途不要干涉），

删除完后重启计算机时按F8进入安全模式:
(如果进不了就进正常模式)
打开sreng
启动项目--注册表--删除如下项目:
<DiskMan32><C:\WINDOWS\limkar.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  []
    <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <WinSysM><C:\WINDOWS\IGM.exe>  []
    <MsPrint32D><C:\WINDOWS\MsPrint32D.exe>  []
    <GenProtect><C:\WINDOWS\GenProtect.exe>  []
    <MFMJ><C:\WINDOWS\system32\MFMJEXE.exe>  []
    <WinSysW><C:\WINDOWS\swchost.exe>  []
      <mppds><C:\WINDOWS\mppds.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  []
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
<{AEB6717E-7E19-11d0-97EE-00C04FD91974}><winforms.dll>  []
    <{AEB6717E-7E19-11d0-97EE-00C04FD91975}><zinforms.dll>  []
    <{AEB6717E-7E19-11d0-97EE-00C04FD91976}><UPS.dll>  []
双击<AppInit_DLLs>把><winforms.dll>删除掉.确定.
打开sreng
点击启动项目--服务--Win32服务应用程序-- 勾选“隐藏经认证的微软项目”
等待列表出来之后点击以下项目.然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
[C0EC6547 / C0EC6547][Stopped/Auto Start]
  <C:\WINDOWS\system32\D50456D1.EXE -k><Microsoft Corporation>
[DEEBD356 / DEEBD356][Stopped/Auto Start]
  <C:\WINDOWS\system32\6DCD4337.EXE -k><Microsoft Corporation>
驱动程序
[New0 / New0][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\new.sys><N/A>
打开arswp--高级模式--清理相关--临时文件--开始清理
打开arswp--高级模式--定制扫描--完整扫描,扫描所有文件--开始扫描.
这个是不是你的游戏的.建议还是卸载了吧.
C:\Program Files\hxupdate\
还有问题重新扫描日志以附件上传.

忘了修复了,.
下载威金专杀修复受感染的exe文件
http://download.jiangmin.info/jmsoft/VikingKiller.exe
升级瑞星全盘扫描.

汗，毒中的够多的，全都是拜auto.exe这个木马下载器所赐……
在组策略中关闭所有磁盘的自动播放吧，虽然是亡羊补牢的说……

你看看.C:\WINDOWS\system32\D50456D1.EXE
C:\WINDOWS\system32\6DCD4337.EXE
C:\WINDOWS\system32\B43922A7.DLL
C:\WINDOWS\system32\E376CD4.DLL
这么多在下载.

谢谢，我回去试下，对了，我一上网还会生出很多exe的东西，如图

附件: 9670782007102695042.jpg

顺便问下，我怀疑是我移动硬盘中毒带过来的，我怎么把移动硬盘的毒杀掉啊？

再多问句，你们要的扫描日志是上网过程中进行的扫描得到的日志，还是什么时候都可以扫的？谢谢

用WINRAR查看U盘,能看到里面有auto.exe 和autorun.inf这两个文件,删除即可

切忌不能双击打开U盘去删这两个文件

U盘跟移动硬盘一样处理方法

呵呵，9楼的方法就行了，楼主，处理时要断网，扫描的时候也断了，另：应在安全模式下，清理并注意打开文件夹的方法，切忌不能双击！！那个k...的exe文件，当然要删了。。

用WINRAR查看U盘？？
不太明白，winrar不是压缩用的么？
我点显示隐藏文件和文件夹可以看到autorun.inf，
但是看不到auto.exe

auto.exe 这个到底要怎么看到啊？
不会
帮人帮到底，再教教吧

把“文件夹选项”－“查看”－“隐藏受保护的系统文件”的那个勾去掉，点“显示所有文件和文件夹”就可以看到了。
（autorun.inf应该也是系统属性的……）

如果没有的话，就说明auto.exe没有（看看有没有其他的隐藏文件，尤其是你不认识的exe文件，因为U盘里有autorun.inf，说明有病毒，除非那个文件是你自己做的。或者打开autorun.inf看看里面启动项如auto=后面的文件名是什么，把那个文件从U盘上删了）

没有其他的隐藏文件，打开里面写的是以下内容
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

怎么办？看不到auto.exe

找不到就说明auto已经被删除了
即使没有删除，autorun.inf被删除后，病毒的自启能力就丧失了，重新插拔一次U盘，鼠标右击U盘图标，如果没有看到“Auto”这项，就没问题了。

那我插上盘之后本来会自动跳出个框，让我选可以执行什么操作的那个，如果我直接选‘打开文件夹以查看文件’，是不是和双击的效果一样？

那病毒的自启能力消失了，我以后用的时候是不是就可以双击了？

病毒没处理干净之前查看文件夹最好用资源管理器方式。winrar，删除文件是因为在你选择该文件后，右键点击有 “添加到压缩文件..",打开操作界面后右下有个选项“压缩后删除原文件”，勾中，确定，即可。

这样么？

附件: 96707820071026141229.jpg

2

附件: 96707820071026141257.jpg

这种情况只要直接删除autorun.inf，重新插拔一次U盘就可以了

用“打开文件夹查看”和双击不是一个性质

在任何时候都不要用双击的方法打开U盘，这是一个防病毒的习惯，用资源管理器打开U盘。

建议直接换KV2007杀~~~
不愿意不勉强~