瑞星卡卡安全论坛

瑞星无法启动已经搞了2天了！！
删掉瑞星 用avg 发现了70多个病毒
其中的  Trojan.BHO.ady  无法清除 进程是 9de81.exe
C:\WINDOWS\1baa1.txt -> Trojan.BHO.ady : 已清除.
C:\WINDOWS\system32\9de81.exe -> Trojan.BHO.ady : 已清除.
[3628] C:\WINDOWS\system32\9de81.exe -> Trojan.BHO.ady : 已清除.
重起后 还是有 瑞星 都无法重新安装了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 99782320071230121220.txt

来这里寻找帮忙的都需要SRENG日志 提醒下楼主 虽然我帮不上忙

http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 将日志内容复制到空记事本里保存，再以附件形式发来。

加我QQ 348515956 帮你解决

各路高人 最好不要告诉我还要用dos才可以杀掉 我可什么都不懂啊
我用瑞星4年了 这次最让我头疼了

只有用Xdelbox这个工具去删除这些文件了。
下载XDELBOX，地址和使用方法：
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载：http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的

将下面的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件，选择右键菜单的“立刻重启删除”

C:\WINDOWS\system32\89d1.dll
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\GDMSI32.dll
C:\WINDOWS\system32\GDMOYI32.dll
C:\WINDOWS\system32\fcrznz74s.dll
C:\WINDOWS\Downlo~1\kaquom5b.dll
C:\WINDOWS\Downlo~1\cl0.dll
C:\WINDOWS\system32\rodych.dll
C:\WINDOWS\system32\sysave.exe
C:\WINDOWS\WinForm.exE
C:\WINDOWS\Downlo~1\cl0.dll
C:\WINDOWS\Downlo~1\kaquom5b.dll
C:\WINDOWS\system32\9de81.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe
C:\WINDOWS\System32\drivers\100133.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\DRIVERS\msconkt.sys
C:\WINDOWS\system32\DRIVERS\msconkt.sys
C:\WINDOWS\System32\DRIVERS\gxkhrb35.sys
C:\WINDOWS\system32\drivers\mxdispdr.sys
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\drivers\q5dwi5jptz.sys
C:\WINDOWS\System32\DRIVERS\q96j05bpj.sys
C:\WINDOWS\System32\DRIVERS\z8psucih.sys

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后，再做下面的：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <remotecontrol><C:\WINDOWS\system32\sysave.exe>  []
    <WinForm><C:\WINDOWS\WinForm.exE>  []
    <cl0><rundll32 "C:\WINDOWS\Downlo~1\cl0.dll",start>  [Microsoft Corporation]
    <kaquom5b><rundll32 "C:\WINDOWS\Downlo~1\kaquom5b.dll",Run>  [Microsoft Corporation]
注意下面这些：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    <IFEO[avp.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
    <IFEO[CCenter.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
...................................
..........................
................
.........
....
相同的项目很多，慢慢删，耐心点。
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项删除，
==================================
服务
[ms_2fax / ms_2fax][Stopped/Auto Start]
  <C:\WINDOWS\system32\9de81.exe><N/A>

[System Event loader / sysloader][Stopped/Auto Start]
  <"C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe"><Microsoft>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面各项删除，
==================================
驱动程序
[100133 / 100133][Stopped/Disabled]
  <System32\drivers\100133.sys><N/A>

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
  <system32\DRIVERS\msconkt.sys><N/A>

[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
  <system32\DRIVERS\msconkt.sys><N/A>

[gxkhrb3 / gxkhrb35][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\gxkhrb35.sys><N/A>

[mxdispdr / mxdispdr][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys><N/A>

[oreans32 / oreans32][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>

[q5dwi5jptz / q5dwi5jptz][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\q5dwi5jptz.sys><N/A>

[q96j05bp / q96j05bpj][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\q96j05bpj.sys><N/A>

[z8psuci / z8psucih][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\z8psucih.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\89d1.dll, >
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\89d1.dll, >
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本，全盘杀毒。
如果杀毒软件不能启动，就彻底卸载后，重装杀软。

感谢 登峰造极 ！！
牛人啊 虽然麻烦但是有效啊！！！
瑞星什么时候可以直接杀毒，要是新的病毒都要这样的话 我的钱就不是白花了么 我可是正版的老用户了  呜呜 找病毒文件搞得 我的眼睛都疼了

c:\windows\system32\sysave.exe
c:\windows\system32\gdmoyi32.dll
c:\windows\system32\gdmsi32.dll
c:\program files\viewgood\webplayer 2007\zipdll.dll
c:\windows\system32\rodych.dll
c:\windows\winform.exe
c:\windows\system32\9de81.exe
c:\windows\system32\drivers\z8psucih.sys
c:\windows\system32\drivers\q5dwi5jptz.sys
c:\windows\system32\drivers\gxkhrb35.sys
c:\windows\system32\drivers\msconkt.sys
c:\windows\system32\89d1.dll


上报吧，另外修复映像劫持

呵呵！！！

杀了就好。

记得一定要全盘杀毒哦。

至于瑞星，只因为这些病毒都拿瑞星开刀。

没办法的。

楼主可以把这些文件上报瑞星客服！

这样太被动了

大概是avkiller