瑞星卡卡安全论坛

病毒文件名称cyyzmgv7h.sys（病毒名称Trojan.Win32.Agent.zwp）
请高手们帮帮这个小菜鸟好吗？

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

扫个SRE日志上来吧
现在病毒都是模块型的，不是单一的一个
找不到源头，杀不干净 还会生成

应该有病毒程序在运行,可以通过主动防御规则设置查询到时哪个文件可疑.选择主动防御设置->应用程序访问控制->添加->选择规则应用对象(选择*)->添加(文件)->监控目标(选择已知的那个病毒,你这边选择填写cyyzmgv7h.sys)-〉监控操作（选择创建和修改）-〉然后点确定就行了
然后用瑞星杀毒后重启电脑，如果病毒文件还存在，则察看历史记录（在瑞星主界面-〉操作-〉历史记录），察看主动防御记录中的应用程序访问控制-〉文件访问控制，就能发现是那个进程创建了那个病毒文件，找到对应的文件路径，把可疑文件提取发送给瑞星http://up.rising.com.cn/webmail/uploadnew.htm。

关闭系统还原，找到文件cyyzmgv7h.sys，手动删除里面的文件即可。

下载 System Repair Engineer，
http://www.kztechs.com/sreng/download.html
1 解压缩sreng2.zip
2 运行SREngPS.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

附SRE日志

附件: 9770602007111502938.txt

引用:

【loguserdll的贴子】附SRE日志 ………………

病毒太多，手工杀毒太麻烦，建议格式化C盘重装系统，可以比较彻底地解决你机的问题。重装系统后请第一时间安装杀软和防火墙，并升级到最新版本。

打开SREng->启动项目->注册表->删除以下启动项目
    <avpqqsg><; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
    <avpwd><; C:\Program Files\NetMeeting\avpwd.exe>  [N/A]
    <DiskMan32><; C:\WINDOWS\niigwz.exe>  [N/A]
    <MsIMMs32><; C:\WINDOWS\MsIMMs32.exe>  [N/A]
    <lknjkaw><; C:\Program Files\Common Files\System\pkyykil.exe>  [N/A]
    <NVDispDrv><; C:\WINDOWS\qdcrxe.exe>  [N/A]
    <ravfymon><; C:\Program Files\NetMeeting\ravfymon.exe>  [N/A]
    <ravgjmon><; C:\Program Files\NetMeeting\ravgjmon.exe>  [N/A]
    <ravmhmon><; C:\Program Files\NetMeeting\ravmhmon.exe>  [N/A]
    <ravmsmon><; C:\Program Files\NetMeeting\ravmsmon.exe>  [N/A]
    <ravztmon><; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]
    <ravzxmon><; C:\Program Files\NetMeeting\ravzxmon.exe>  [N/A]
    <teoyfgx><; C:\Program Files\Common Files\Microsoft Shared\iflvsnh.exe>  [N/A]
    <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>  [N/A]
    <{434345F1-DACF-3452-CB7D-4620F34A1534}><C:\WINDOWS\system32\rsztdpm.dll>  [N/A]
    <{28907901-1416-3389-9981-372178569982}><C:\WINDOWS\system32\kawdbzy.dll>  [N/A]
    <{2598FF45-DA60-F48A-BC43-10AC47853D52}><C:\WINDOWS\system32\rarjbpi.dll>  [N/A]
    <{5859245F-345D-BC13-AC4F-145D47DA34F5}><C:\WINDOWS\system32\avzxemn.dll>  [N/A]
    <{34783410-4F90-34A0-7820-3230ACD05F43}><C:\WINDOWS\system32\raqjcpi.dll>  [N/A]
    <{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><C:\WINDOWS\system32\avwgemn.dll>  [N/A]
    <{2A321487-4977-D98A-C8D5-6488257545A2}><C:\WINDOWS\system32\kapjbzy.dll>  [N/A]
    <{5C87A354-ABC3-DEDE-FF33-3213FD7447C5}><C:\WINDOWS\system32\kvdxema.dll>  [N/A]
    <{4D561258-45F3-A451-F908-A258458226D4}><C:\WINDOWS\system32\kvdxsdma.dll>  [N/A]
    <{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll>  [N/A]
    <{3960356A-458E-DE24-BD50-268F589A56A3}><C:\WINDOWS\system32\avwlcmn.dll>  [N/A]
    <{66650011-3344-6688-4899-345FABCD1566}><C:\WINDOWS\system32\ratbfpi.dll>  [N/A]
    <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\system32\rsjzbpm.dll>  [N/A]
    <{59659854-7415-1025-5982-789541250195}><C:\WINDOWS\system32\WinSysms_1.dll>  [N/A]
    <{38907901-1416-3389-9981-372178569983}><C:\WINDOWS\system32\kawdczy.dll>  [N/A]
    <{6C87A354-ABC3-DEDE-FF33-3213FD7447C6}><C:\WINDOWS\system32\kvdxfma.dll>  [N/A]
    <{278A7521-FA87-34AB-34C2-4893F3AD34C2}><C:\WINDOWS\system32\swrcazc.dll>  [N/A]
    <{44783410-4F90-34A0-7820-3230ACD05F44}><C:\WINDOWS\system32\raqjdpi.dll>  [N/A]
    <{392FADFA-BCDE-ACDF-CDEF-21054865CBA3}><C:\WINDOWS\system32\wsmsazx.dll>  [N/A]

打开SREng->启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。  注意弹出的窗口中要点 “NO 否”才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
[ms_2fax / ms_2fax][Stopped/Auto Start]
  <C:\WINDOWS\system32\1d491.exe><N/A>

打开SREng->启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。  注意弹出的窗口中要点 “NO 否”才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
[4szfswl / 4szfswl][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\4szfswl.sys><N/A>
[cyyzmgv7 / cyyzmgv7h][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\cyyzmgv7h.sys><N/A>

重启 显示隐藏文件后删除以下文件，找不到的忽略（你也可以选择工具删除）
C:\Program Files\NetMeeting\avpqqsg.exe
C:\Program Files\NetMeeting\avpwd.exe
C:\WINDOWS\niigwz.exe
C:\WINDOWS\MsIMMs32.exe
C:\Program Files\Common Files\System\pkyykil.exe
C:\WINDOWS\qdcrxe.exe
C:\Program Files\NetMeeting\ravfymon.exe
C:\Program Files\NetMeeting\ravgjmon.exe
C:\Program Files\NetMeeting\ravmhmon.exe
C:\Program Files\NetMeeting\ravmsmon.exe
C:\Program Files\NetMeeting\ravztmon.exe
C:\Program Files\NetMeeting\ravzxmon.exe
C:\Program Files\Common Files\Microsoft Shared\iflvsnh.exe
C:\WINDOWS\system32\jhbpri.dll
C:\WINDOWS\system32\rsztdpm.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\avzxemn.dll
C:\WINDOWS\system32\raqjcpi.dll
C:\WINDOWS\system32\avwgemn.dll
C:\WINDOWS\system32\kapjbzy.dll
C:\WINDOWS\system32\kvdxema.dll
C:\WINDOWS\system32\kvdxsdma.dll
C:\WINDOWS\system32\sidjazy.dll
C:\WINDOWS\system32\avwlcmn.dll
C:\WINDOWS\system32\ratbfpi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\WinSysms_1.dll
C:\WINDOWS\system32\kawdczy.dll
C:\WINDOWS\system32\kvdxfma.dll
C:\WINDOWS\system32\swrcazc.dll
C:\WINDOWS\system32\raqjdpi.dll
C:\WINDOWS\system32\wsmsazx.dll
C:\WINDOWS\system32\1d491.exe
C:\WINDOWS\system32\drivers\4szfswl.sys
C:\WINDOWS\System32\DRIVERS\cyyzmgv7h.sys

7楼兄：你的方法我一一操作，还是清除不了！
怎么办啊？求求帮帮我这个菜鸟吧！

这是威金吧？记得学校电脑最多这些了。。。
删除完了会自动产生的。。。所以删除服务和注册表的后，用XDELBOX删除吧

去看看这两个文件是什么。

C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\xmenc9chd.dll

至于你没法处理，可以再扫个新日志来看看，到底处理了哪些。

我用SREngPS.EXE都不能删除ccyzmgv7h.sys服务，XDelBox也不行！
我另扫一个新SRE日志如下：

附件: 97706020071118135433.txt

你还是去看看这两个插入进程里的模块文件的日期、属性，到底是什么。实在不明的就改名吧。（不要删除，不行还可以改回来）
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\xmenc9chd.dll

重启电脑，用扫日志的SRENG工具，将下面的启动类型改为“Disabled”
==================================
驱动程序
[2310_00 / 2310_00][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\2310_00.sys><N/A>
[cyyzmgv7 / cyyzmgv7h][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\cyyzmgv7h.sys><N/A>
[FTSATA2 / FTSATA2][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\ftsata2.sys><N/A>
[MINICD / MINICD][Running/Auto Start]
  <\??\C:\WINDOWS\system32\minicd.sys><http://www.138soft.com>
[mxdispdr / mxdispdr][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys><N/A>
——————————————————————————
重启电脑，再升级杀毒软件，全盘杀杀毒，扫个SRENG新日志来看看。

驱动里实在看不了了，就看那点。

C:\WINDOWS\system32\msplrct.dll不存在，
C:\WINDOWS\system32\xmenc9chd.dll
天月来了：你好！我QQ号：71453042
你能加我吗？能教我怎么操作吗？
cyyzmgv7h服务怎么都不能Disabled

我这里上班的电脑没QQ。

那SRENG如下图修改还不行吗？改完要重启电脑的。



附件: 83907720071118163721.jpg

至于
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\xmenc9chd.dll
这两个可能要显示系统文件和隐藏文件才能找到呢。

再去找看看文件属性显示是些什么文件。

SRENG改了再重启也不行！还是被改成boot start
显示系统文件和隐藏文件找也找不到
C:\WINDOWS\system32\msplrct.dll

C:\WINDOWS\system32\xmenc9chd.dll的属性如下图：

附件: 97706020071118165741.jpg

C:\WINDOWS\system32\msplrct.dll这个确实插入你的进程了。

要不你去DOS下找文件改它的名吧。

C:\WINDOWS\system32\xmenc9chd.dll暂时不管了。

怎么查找被C:\WINDOWS\system32\msplrct.dll插入的进程呢？
我没有安装纯DOS系统怎么办啊？
我用启动光盘进入DOS，可看不到C盘里的内容！

从你的日志中可看出：
正在运行的进程
[PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\msplrct.dll]  [N/A, ]
在：
[PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] 进程中插入了：
[C:\WINDOWS\system32\msplrct.dll]  [N/A, ]
你去这里找冰刃下载：
http://forum.ikaka.com/topic.asp?board=39&artid=8161301
在冰刃的进程里找到C:\WINDOWS\system32\winlogon.exe进程，右键项目里选择“模块信息”，找那个C:\WINDOWS\system32\msplrct.dll模块，找到就强制卸除试试。

如果卸除失败，就去DOS下删除吧，别的无法了。

威金专杀......

谢谢天月来了！ccyzmgv7h.sys被我用冰刃强制清除了！

跟威金没关系的DD

该用户帖子内容已被屏蔽