瑞星卡卡安全论坛

请各位高手帮看看日志,是中毒了吗,这几天系统确实也挺慢的

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;  Embedded Web Browser from: http://bsalsa.com/; .NET CLR 1.1.4322)


附件: 72477620071114101921.txt

是中毒~~~~
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

用SRENG-启动项目-注册表
把[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><avzxfmn.dll>  [N/A]设置为空

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{5BD41097-3693-4133-820E-FDAC57AF00E2}><C:\Program Files\Internet Explorer\PLUGINS\NvSys74.Sys>  [N/A]
    <{6859245F-345D-BC13-AC4F-145D47DA34F6}><C:\WINDOWS\system32\avzxfmn.dll>  [N/A]
这两个删除

下面两个倒删得掉了 但就是把[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><avzxfmn.dll> [N/A]设置为空 没办法设置 怎么改都不变

用arswp没有查出什么来

你找到这个DD
avzxfmn.dll

路径就是C:\WINDOWS\system32\avzxfmn.dll

把这个文件重命名为XXXXXXXXXXXXXXXXXXXXXXXXXXX.XXX
然后重起,删除这个XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.XXXX

再去改这个[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><avzxfmn.dll>

没有这个DD呢 郁闷了 会不是会是病毒残留?

显示隐藏文件去找

所有都显示了,连保护的系统文件都显示了,同样没有

引用:

【buzui686的贴子】所有都显示了,连保护的系统文件都显示了,同样没有 ………………

如果是这样,还是找不到的话,那就直接改注册表

去改过了  说无法编辑,写该值的新内容出错

可以用WinRAR依路径打开找这个文件看看在不在。

实在不行，再扫个新日志以附件形式发来。

引用:

【buzui686的贴子】去改过了  说无法编辑,写该值的新内容出错 ………………

双击这项,把内容清空!!
确定

试了N多办法了  不行 再贴次扫描日志

附件: 72477620071114135035.txt

试试冰刃删除，应该可以。先修改，在按照路径找[很累。但值得]删除即可

先设置2008瑞星的监控为最高级别

然后去清空那个键值，置空后，看瑞星监控提示什么东西要修改那个空键值为avzxfmn.dll

不懂就发图来给他们看

启动项目-注册表
编辑    <AppInit_DLLs><avzxfmn.dll>
为<AppInit_DLLs><>

删除驱动程序
[TSP / TSP][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><N/A>
==================================
删除C:\WINDOWS\system32\drivers\klif.sys

我也是修改不过,就把"AppInit_DLLs"重命名为"123",然后把它设为空.但我再想把123改回为"AppInit_DLLs"就改不过了,这样不会对系统有影响吧.急求解答!!!!

我也是修改不过,就把"AppInit_DLLs"重命名为"123",然后把它设为空.但我再想把123改回为"AppInit_DLLs"就改不过了,这样不会对系统有影响吧.急求解答!!!!