瑞星卡卡安全论坛

中了Worm.Win32.Agent.yzy,Trojan.PSW.win32.Gameonline.ajx,
Trojan.PSW.win32.XYOnline.hy,  等等多种病毒.传上日志和瑞星查毒结果，请斑主，高手帮忙看看．

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; WBP/20071030cn; WBP/20070724; Alexa Toolbar)


附件: 98017520071122220944.txt

C:\WINDOWS\system32\FB9068CA.EXE
C:\WINDOWS\system32\07b11.exe

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[ckunom6 / ckunom66][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\ckunom66.sys><N/A>
[fanics2 / fanics25][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\fanics25.sys><N/A>
GMSIPCI / GMSIPCI][Stopped/Manual Start]
  <\??\G:\INSTALL\GMSIPCI.SYS><N/A>
[jvdwxd0 / jvdwxd07][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\jvdwxd07.sys><N/A>
[kiifwh3 / kiifwh38][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\kiifwh38.sys><N/A>
[mxdispdr / mxdispdr][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys><N/A>
[NTACCESS / NTACCESS][Stopped/Manual Start]
  <\??\G:\NTACCESS.sys><N/A>
[S3SavageNB / S3SavageNB][Running/Manual Start]
  <system32\DRIVERS\s3gnbm.sys><S3 Graphics, Inc.>
[savfzg1 / savfzg12][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\savfzg12.sys><N/A>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[SetupNTGLM7X / SetupNTGLM7X][Stopped/Manual Start]
  <\??\G:\NTGLM7X.sys><N/A>
[wsyhzg5 / wsyhzg51][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\wsyhzg51.sys><N/A>
[xqpzld0 / xqpzld09][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\xqpzld09.sys><N/A>

C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\Downlo~1\ns76.dll
C:\WINDOWS\system32\uqyrjt61.dll
C:\WINDOWS\system32\xqpzld09.dll
C:\WINDOWS\system32\kiifwh38.dll
C:\WINDOWS\system32\jvdwxd07.dll
C:\WINDOWS\system32\fanics25.dll
C:\WINDOWS\system32\ckunom66.dll
C:\WINDOWS\system32\savfzg12.dll
C:\WINDOWS\system32\EEFA9A8B.DLL
C:\WINDOWS\system32\GenProtect.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\kwtqur.dll
C:\WINDOWS\system32\NVDispDrv.dll
[C:\WINDOWS\system32\MsPrint32D.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
[C:\WINDOWS\system32\SQLLink01.dll]  [N/A, ]
    [C:\WINDOWS\system32\EEFA9A8B.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\system32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\kwtqur.dll]  [N/A, ]
    [C:\WINDOWS\system32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\system32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsPrint32D.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll]  [N/A, ]
楼主幸福了啊，哈哈，估计你 的瑞星转起来没完了，不行加我QQ慢慢聊着杀？

打开XDelbox勾选“抑制再生”。
把以下路径添加进去(或者复制下面路径然后点xdelbox右键"从剪贴板导入),然后点右键,立即重启并删除.
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[ckunom6 / ckunom66][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\ckunom66.sys><N/A>
[fanics2 / fanics25][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\fanics25.sys><N/A>
[GMSIPCI / GMSIPCI][Stopped/Manual Start]
  <\??\G:\INSTALL\GMSIPCI.SYS><N/A>
[C:\WINDOWS\system32\winlib .dll]  [N/A, ]
[C:\WINDOWS\system32\msplrct.dll]  [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL]  [N/A, ]
[jvdwxd0 / jvdwxd07][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\jvdwxd07.sys><N/A>
[kiifwh3 / kiifwh38][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\kiifwh38.sys><N/A>
[mxdispdr / mxdispdr][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys><N/A>
[NTACCESS / NTACCESS][Stopped/Manual Start]
  <\??\G:\NTACCESS.sys><N/A>
[savfzg1 / savfzg12][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\savfzg12.sys><N/A>
[SetupNTGLM7X / SetupNTGLM7X][Stopped/Manual Start]
  <\??\G:\NTGLM7X.sys><N/A>
[uqyrjt6 / uqyrjt61][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\uqyrjt61.sys><N/A>
[wsyhzg5 / wsyhzg51][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\wsyhzg51.sys><N/A>
[xqpzld0 / xqpzld09][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\xqpzld09.sys><N/A>
[C:\WINDOWS\system32\GenProtect.dll]  [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\kwtqur.dll]  [N/A, ]
    [C:\WINDOWS\system32\mppds.dll]  [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsPrint32D.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll]  [N/A, ]
  [C:\WINDOWS\system32\jvdwxd07.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\kiifwh38.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\uqyrjt61.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\xqpzld09.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\ckunom66.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\fanics25.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\SQLLink01.dll]  [N/A, ]
    [C:\WINDOWS\system32\savfzg12.dll]  [, 1, 0, 0, 1]

删除注册表中
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<GenProtect><C:\WINDOWS\GenProtect.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <WinSysM><C:\WINDOWS\608769M.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exE>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]

非常感谢二位大侠的热心解答.
但我复制内容,在XDELBOX中,选择从剪贴板导入时.却显示
"对不起,不存在该文件,请确认复制内容."从而无法导入.
现在边QQ都进不了,一直显示密码出错.唉!急啊.还请大家多多帮忙!谢谢了!

路径
C:\WINDOWS\system32\FB9068CA.EXE
C:\WINDOWS\system32\07b11.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\DRIVERS\ckunom66.sys
C:\WINDOWS\System32\DRIVERS\fanics25.sys
G:\INSTALL\GMSIPCI.SYS
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\System32\DRIVERS\jvdwxd07.sys
C:\WINDOWS\System32\DRIVERS\kiifwh38.sys]
C:\WINDOWS\system32\drivers\mxdispdr.sys
G:\NTACCESS.sys
C:\WINDOWS\System32\DRIVERS\savfzg12.sys
G:\NTGLM7X.sys
C:\WINDOWS\System32\DRIVERS\uqyrjt61.sys
C:\WINDOWS\System32\DRIVERS\wsyhzg51.sys
C:\WINDOWS\System32\DRIVERS\xqpzld09.sys
C:\WINDOWS\system32\GenProtect.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\kwtqur.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\jvdwxd07.dll
C:\WINDOWS\system32\kiifwh38.dll
C:\WINDOWS\system32\uqyrjt61.dll
C:\WINDOWS\system32\xqpzld09.dll
C:\WINDOWS\system32\ckunom66.dll
C:\WINDOWS\system32\fanics25.dll
C:\WINDOWS\system32\SQLLink01.dll
C:\WINDOWS\system32\savfzg12.dll

以上这些能删多少删多少

终于又可以上网了，非常感谢你的帮助。
现在系统基本正常了，请麻烦再看一下现在的日志还有没有问题。
还请多多指教！(日志附件发在新贴上了。）

1，安装雨木林风PE工具箱，以备等会删除病毒文件之用

2，删除服务
[9B9F6905 / 9B9F6905]
[hpdj / hpdj]
[InstallDriver Table Manager / IDriverT]
[Internet Statistics / Internet Statistics]
[ms_2fax / ms_2fax]
 
删除驱动程序
[ckunom6 / ckunom66]
[cnprov / cnprov]
[fanics2 / fanics25]
[GMSIPCI / GMSIPCI]
[idnaux / idnaux].
[jvdwxd0 / jvdwxd07]
[kiifwh3 / kiifwh38]
[mxdispdr / mxdispdr]
[NTACCESS / NTACCESS]
[savfzg1 / savfzg12]
[SetupNTGLM7X / SetupNTGLM7X]
[uqyrjt6 / uqyrjt61]
[wsyhzg5 / wsyhzg51]
[xqpzld0 / xqpzld09]


3，重起，进入PE，删除以下文件
C:\WINDOWS\system32\EEFA9A8B.DLL
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\EEFA9A8B.DLL
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\EEFA9A8B.DLL
C:\WINDOWS\system32\SQLLink01.dll
    C:\WINDOWS\Downlo~1\ns76.dll
    C:\WINDOWS\608769MM.DLL] 
    C:\WINDOWS\system32\uqyrjt61.dll
    C:\WINDOWS\system32\xqpzld09.dll
    C:\WINDOWS\system32\kiifwh38.dll
    C:\WINDOWS\system32\jvdwxd07.dll
    C:\WINDOWS\system32\fanics25.dll
    C:\WINDOWS\system32\ckunom66.dll
    C:\WINDOWS\system32\savfzg12.dll
    C:\WINDOWS\system32\EEFA9A8B.DLL
    C:\WINDOWS\system32\GenProtect.dll
    C:\WINDOWS\system32\Kvsc3.dll
    C:\WINDOWS\system32\AVPSrv.dll
    C:\WINDOWS\system32\mppds.dll
    C:\WINDOWS\system32\kwtqur.dll
    C:\WINDOWS\system32\NVDispDrv.dll
    C:\WINDOWS\system32\MsPrint32D.dll
    C:\WINDOWS\system32\upxdnd.dll
    C:\WINDOWS\system32\msccrt.dll
    C:\WINDOWS\system32\cmdbcs.dll
    C:\WINDOWS\system32\LotusHlp.dll
    C:\WINDOWS\system32\MsIMMs32.dll]
<C:\Program Files\Wosou\ie_wosou.dll, Wosou>
<C:\Program Files\WZCN\cn_ie_wzcn.dll, N/A>
<C:\Program Files\hjtools\hjtools.dll, >
<C:\PROGRA~1\OCINS\ieaux.dll, 中国互联网络信息中心(CNNIC)>
<C:\WINDOWS\system32\msurlpar.dll, N/A>
<C:\WINDOWS\system32\f071.dll, >
<C:\Documents and Settings\All Users.WINDOWS\ApplicationData\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
<C:\WINDOWS\system32\ksmmopusaxnkj.dll, >
<C:\Program Files\Common Files\CPUSH\cpush0.dll, >
<C:\WINDOWS\system32\bstef.dll, N/A>
<C:\Program Files\OCINS\config.exe, 中国互联网络信息中心(CNNIC)>
<C:\Program Files\Wosou\ie_wosou.dll, Wosou>
<C:\PROGRA~1\OCINS\ieaux.dll, 中国互联网络信息中心(CNNIC)>
<C:\WINDOWS\system32\f071.dll, >
<C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
<C:\Program Files\Common Files\CPUSH\cpush0.dll, >


4，进入系统，用SRE删除启动注册表

<Vmlist>
<GenProtect>
<Kvsc3>
<AVPSrv>
<mppds>
<cmdbcs>
<upxdnd>
<msccrt>
<DbgHlp32>
<WinSysM>
<LotusHlp>
<MsIMMs32>
<MSDEG32>
    <MSDWG32>
    <MSDCG32    >
    <MSDOG32>
    <MSDSG32>
    <MSDMG32>
    <MSDHG32>
    <MSDQG32>
<ns76>
<{990220B1-A1E6-42dd-9A94-2569E9C62A76}><>  [N/A]
    <{BE962490-5F61-4a5a-862B-14FA2E295024}><>  [N/A]
    <{D66DEF5B-BD09-4a7d-90A5-17FC9294322D}>

删除浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[Info cache]
  {385AB8C6-FB22-4D17-8834-064E2BA0A6F0}
[Invoke Class]
  {3AA0903B-1E13-4865-B114-15792D413C41}
[IEAux Class]
  {7605CC7C-00FD-4A5F-BAFD-828342DE6279}
[WazapConfig Class]
  {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}
[中文上网]
  {B012491E-8FA4-4851-AA9B-22E33784FBAD}
[sosHlpr Class]
  {00C104F7-0F5C-470C-ABCF-A5B2E70752F1}
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[]
  {2F429BA5-3EF4-40BD-AE4B-5561C8AF3E72}
[Info cache]
  {385AB8C6-FB22-4D17-8834-064E2BA0A6F0}
[Invoke Class]
  {3AA0903B-1E13-4865-B114-15792D413C41}
[MSURL Class]
  {6CDD9D1F-7501-4B0F-90CD-5ADA4F15E6E8}
[IEAux Class]
  {7605CC7C-00FD-4A5F-BAFD-828342DE6279}
[EyeOnIE Class]
  {BE5EAD7D-1C3A-4DDE-9A8D-5AE1B426E10F}
[WZCNBHO Class]
  {D500885E-E400-41CA-804B-CD6373A7EEF2}
[WosouBHO Class]
  {E601995E-E400-41CA-804B-CD6373A7EEF2}


最后，编写下面批处理（复制到文本改后缀为.cmd）后运行

cd\
c:
attrib -a -s -h -r *.inf
attrib -a -s -h -r auto.exe
del *.inf
del auto.exe
d:
attrib -a -s -h -r *.inf
attrib -a -s -h -r auto.exe
del *.inf
del auto.exe
e:
attrib -a -s -h -r *.inf
attrib -a -s -h -r auto.exe
del *.inf
del auto.exe
f:
attrib -a -s -h -r *.inf
attrib -a -s -h -r auto.exe
del *.inf
del auto.exe
h:
attrib -a -s -h -r *.inf
attrib -a -s -h -r auto.exe
del *.inf
del auto.exe

echo 如果至此未出现：找不到文件……则证明其他分区下病毒已经删除，请重启电脑，再次执行此程序，如果全是“找不到文件”，就证明彻底删除了。

pause

【回复“豪斯登堡新郎”的帖子】

谢谢大家的热心帮助，现在问题终于解决了。谢谢大家！