瑞星卡卡安全论坛

我用sreng扫描出了结果,在附件中!请帮忙看看,应该怎么解决!
杀毒软件被禁用、f8进不了安全模式、任务管理器一打开即消失、该两个进程关闭后
马上又出现。。。。。。咳！很多问题！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 822219200812182256.txt

既然病毒劫持你的杀毒软件，那我们也去劫持它，看看能不能有用。
将下面英文内容复制到一个空记事本里（不复制横线），保存为 911.reg 名，然后双击导入注册表，并立即重启电脑。
————————————————————————————————
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qodwjay.exe]
"Debugger"="Debugger"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mgemtjk.exe]
"Debugger"="Debugger"
————————————————————————————————
如果那两个东西不再出来了，就去在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <ArpInsert><C:\WINDOWS\system32\algg.exe>  []
    <jhqocsd><C:\Program Files\Common Files\System\qodwjay.exe>  []
    <smsovct><C:\Program Files\Common Files\Microsoft Shared\mgemtjk.exe>  []
    <{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}><C:\WINDOWS\system32\wsmsezx.dll>  []
包括下面这些很多一样的部分。太多了，慢慢删。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><C:\Program Files\Common Files\Microsoft Shared\mgemtjk.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
    <IFEO[360Safe.exe]><C:\Program Files\Common Files\Microsoft Shared\mgemtjk.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><C:\Program Files\Common Files\Microsoft Shared\mgemtjk.exe>  []
...................................
..........................
................
其中会看到这两个刚导入的劫持那个病毒的注册项，暂时不要删除，看清楚了噢，删错又要重弄了。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qodwjay.exe]
"Debugger"="Debugger"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mgemtjk.exe]
"Debugger"="Debugger"
——————————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改置空：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><wsmsezx.dll>  []
就是将<AppInit_DLLs><wsmsezx.dll>  []  项置空为：
<AppInit_DLLs><> []
——————————————————————————————————————————
然后你就可以启动杀软，全盘杀吧。记得升级杀软。

***注意：操作期间切勿双击分区盘符，应使用资源管理器或WinRAR软件浏览个分区或者右键打开***


1，用SRE修复以下：
删除驱动程序
[2310_00 / 2310_00]

2，用XDelBox软件以抑制再生方式删除以下文件：
删除文件
C:\WINDOWS\system32\algg.exe
C:\Program Files\Common Files\System\qodwjay.exe
C:\Program Files\Common Files\Microsoft Shared\mgemtjk.exe
C:\WINDOWS\system32\wsmsezx.dll
C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE
C:\WINDOWS\System32\BIRD\2310_00.sys
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
g:\autorun.inf
h:\autorun.inf
i:\autorun.inf
c:\smsovct.exe
d:\smsovct.exe
e:\smsovct.exe
f:\smsovct.exe
g:\smsovct.exe
h:\smsovct.exe
i:\smsovct.exe

3，重起删除文件后用SRE修复以下：
删除注册表
<ArpInsert>
<jhqocsd>
<smsovct>
<{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}>
*编辑注册表项<AppInit_DLLs><wsmsezx.dll>为<AppInit_DLLs><>即清空
**删除所有注册表名前带IFEO的项
删除启动项文件
[Adobe Gamma Loader]

4，更新杀毒软件至最新，进行全盘杀毒

建议您咨询瑞星客服　请他们协助解决问题 
瑞星客户服务中心：http://csc.rising.com.cn 
瑞星邮件服务中心：http://up.rising.com.cn/webmail/index.htm 
瑞星在线专家门诊：http://help.rising.com.cn/help/RSZX.html 
瑞星在线专家门诊很方便