瑞星卡卡安全论坛

以附件形式发来

引用:

【天月来了的贴子】以附件形式发来 ………………

来了

附件: 787631200811170156.txt

尽量进安全模式下

去看看下面这个文件是什么。
不认识就去删除吧。
C:\Program Files\10Moons\RemoteService\RS.exe
同时删除下面的：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <RemoteControlService><C:\Program Files\10Moons\RemoteService\RS.exe>  []
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项，将启动类型改为“Disabled”
==================================
服务
[10moons Remote Control Service / RemoteControlService][Running/Auto Start]
  <C:\Program Files\10Moons\RemoteService\RS.exe><>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面各项，将启动类型改为“Disabled”
==================================
驱动程序
[3sh / 3shs][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\3shs.sys><N/A>

[bootdrv / bootdrv][Stopped/Disabled]
  <\SystemRoot\System32\Drivers\bootdrv.sys><N/A>

[DSDrv4 / DSDrv4][Running/Manual Start]
  <\??\C:\PROGRA~1\10Moons\REMOTE~1\DSDrv4.sys><>

[gdrv / gdrv][Stopped/Manual Start]
  <\??\C:\WINDOWS\gdrv.sys><N/A>

[khkajgl / khkajgl][Stopped/Disabled]
  <\SystemRoot\\SystemRoot\System32\drivers\khkajgl.sys><N/A>

[lkqa / lkqak][Stopped/Disabled]
  <\SystemRoot\System32\DRIVERS\lkqak.sys><N/A>

[svvedy5 / svvedy57][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\svvedy57.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除下面这些空项
==================================
浏览器加载项
[Promote Class]
  {0FA24E3E-422C-4D94-A125-104F32352C90} <, N/A>
[FGCatchUrl]
  {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <, N/A>
  {889D2FEB-5411-4565-8998-1DD2C5261283} <, N/A>
[FlashGet GetFlash Class]
  {F156768E-81EF-470C-9057-481BA8380DBA} <, N/A>
[WebThunder Class]
  {03507A1A-E0C5-4404-AA26-205385C0892D} <, N/A>
[Promote Class]
  {0FA24E3E-422C-4D94-A125-104F32352C90} <, N/A>
[FGCatchUrl]
  {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <, N/A>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <, N/A>
[FlashGet GetFlash Class]
  {F156768E-81EF-470C-9057-481BA8380DBA} <, N/A>
——————————————————————————————————————————
如果你确定得了这些文件，可以使用Xdelbox这个工具去删除这些文件，然后再做上面的：

C:\Program Files\10Moons\RemoteService\RS.exe
C:\WINDOWS\System32\DRIVERS\3shs.sys
C:\WINDOWS\System32\Drivers\bootdrv.sys
C:\PROGRA~1\10Moons\REMOTE~1\DSDrv4.sys
C:\WINDOWS\gdrv.sys
C:\WINDOWS\System32\drivers\khkajgl.sys
C:\WINDOWS\System32\DRIVERS\lkqak.sys
C:\WINDOWS\System32\DRIVERS\svvedy57.sys><N/A>

Xdelbox下载：http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）
将下面的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\Program Files\10Moons\RemoteService\RS.exe
C:\WINDOWS\System32\DRIVERS\3shs.sys
C:\WINDOWS\System32\Drivers\bootdrv.sys
C:\PROGRA~1\10Moons\REMOTE~1\DSDrv4.sys
C:\WINDOWS\gdrv.sys
C:\WINDOWS\System32\drivers\khkajgl.sys
C:\WINDOWS\System32\DRIVERS\lkqak.sys
C:\WINDOWS\System32\DRIVERS\svvedy57.sys

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后，再做其他的事。


注意了，文件一定要自己判断了。我都不认识这些文件。

C:\Program Files\10Moons\RemoteService\RS.exe
是电视卡
[3sh / 3shs][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\3shs.sys><N/A>
[svvedy5 / svvedy57][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\svvedy57.sys><N/A>
这两项无法修改和删除
杀毒提示svvedy57有毒

用Xdelbox把其他的都删除了，就是svvedy57.sys仍在。郁闷！！！

————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面各项，将启动类型改为“Disabled”
[svvedy5 / svvedy57][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\svvedy57.sys><N/A>

然后重启电脑，再看效果怎样。

如果还不行，就再用Xdelbox重启删除C:\WINDOWS\System32\DRIVERS\svvedy57.sys

一般来说，不可能没用的。

实在不行，你这样：
这里官网下载冰刃：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

在冰刃的“文件”中这样操作：

先去桌面上新建个空记事本，随便写入几个字母，然后在冰刃的“文件”那里找到桌面上这个新建的文件，右键菜单里选择“复制”，然后在跳出的窗口里输入文件名为“svvedy57.sys”，地址选择“C:\WINDOWS\System32\DRIVERS\

再然后就可以重启电脑，再去看看啦。

一定不能操作错。

因为冰刃的功能过于强大。

操作错了，可没得后悔的。

"在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面各项，将启动类型改为“Disabled”
[svvedy5 / svvedy57][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\svvedy57.sys><N/A>

然后重启电脑，再看效果怎样。

如果还不行，就再用Xdelbox重启删除C:\WINDOWS\System32\DRIVERS\svvedy57.sys"
没用的。

既然这样，那就重装系统吧。