【求助】我的瑞星杀毒软件怎么打不开??? bbs.ikaka.com

目标GO - 2008-1-6 18:34:00

我中毒后,重装了瑞星杀毒软件并成功升级到08版,可是杀毒软件无论是双击还是右键打开,都打不开,但是防火墙能正常打开.希望大家能帮帮我,先谢谢了!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

天月来了 - 2008-1-6 18:39:00

http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 将日志内容复制到空记事本里保存，再以附件形式发来。

一定要以附件形式发来

目标GO - 2008-1-6 19:28:00

谢谢指导.以下是报告

附件: 1000787200816191644.txt

木马将军 - 2008-1-6 19:45:00

下载http://forum.ikaka.com/topic.asp?board=28&artid=8381032
删除文件
c:\windows\fonts\00-0a-e4-63-cf-e9\system\inudhya.dll
c:\windows\fonts\00-0a-e4-63-cf-e9\system\soundma.exe
c:\windows\fonts\00-0a-e4-63-cf-e9\system\wdfmgr.exe
C:\ntldr.exe
C:\Autorun.inf
D:\ntldr.exe
D:\Autorun.inf
E:\ntldr.exe
E:\Autorun.inf
F:\ntldr.exe
F:\Autorun.inf

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[inudhya] <C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\soundma.exe>
[TBMonEx] <C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdfmgr.exe>

系统修复－－ HOSTS文件－－重置
下载IFEO修复程序

附件: 547035200816194844.rar

天月来了 - 2008-1-6 19:54:00

你只有用Xdelbox这个工具去删除这些文件了。
下载XDELBOX，地址和使用方法：
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载：http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的，使用时一定拔掉所有移动存储设备。

将下面的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”
C:\Program Files\Logonui\Logonui.exe
C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\inudhya.dll
C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdfmgr.exe
C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\soundma.exe
C:\Autorun.inf
C:\ntldr.exe
D:\Autorun.inf
D:\ntldr.exe
E:\Autorun.inf
E:\ntldr.exe
F:\Autorun.inf
F:\ntldr.exe
G:\Autorun.inf
G:\ntldr.exe

重启计算机以后会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后病毒就被删除了
之后会自动重启进入正常模式
进入系统后，再做下面的：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<TBMonEx><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdfmgr.exe> []
<inudhya><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\soundma.exe> []
包括下面的很多类似项目，有很多慢慢删，不要急。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdfmgr.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdfmgr.exe> []
.......................................
..............................
....................
.........
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改，（实际你一开启SRENG工具》启动项目，就会自动跳出提示，这项异常了）
启动项目
注册表
<UIHost><"\Program Files\Logonui\Logonui.exe"> [N/A]
将<UIHost>项改为：
<UIHost><logonui.exe> [N/A]
—————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》里面找下面删除
==================================
HOSTS 文件
124.42.125.244 auto.search.msn.com
124.238.254.113 www.10280011.com
124.238.254.113 10280011.com
124.238.254.113 www.10289900.com
124.238.254.113 10289900.com
124.238.254.113 www.78877788.com
124.238.254.113 78877788.com
124.238.254.113 www.11051122.com
124.238.254.113 11051122.com
124.238.254.113 1.ehai01.com
124.238.254.113 da.ehai01.com
124.238.254.113 ehai01.com
124.238.254.113 2008.sekart.cn
124.238.254.113 www.sekart.cn
124.238.254.113 sekart.cn
124.238.254.113 www.11309988.com
124.238.254.113 www.12100088.com
124.238.254.113 www.12108899.com
124.238.254.113 d2.llsging.com
124.238.254.113 llsging.com
124.238.254.113 dd.749571.com
124.238.254.113 749571.com
124.238.254.113 pr.749571.com
124.238.254.113 txwm1204.com
124.238.254.113 www.txwm1204.com
————————————————————————————————————————————————
从下面看，瑞星异常，建议彻底卸载后，重装升级至最新版本全盘杀毒。
==================================
正在运行的进程
[C:\DOCUME~1\user\LOCALS~1\Temp\Rav\Download\recomp.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\DOCUME~1\user\LOCALS~1\Temp\Rav\Download\refs.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 11]
[C:\DOCUME~1\user\LOCALS~1\Temp\Rav\Download\viruslib.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]

豪斯登堡新郎 - 2008-1-7 0:00:00

漏网之鱼C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdlm.exe

柔丝媚骨 - 2008-1-7 0:15:00

楼主最好是在安全模式下进行全盘查杀！

天月来了 - 2008-1-7 15:45:00

引用:

【豪斯登堡新郎的贴子】漏网之鱼C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdlm.exe
………………

不完全就那个漏了。
发现还有呢。
在IFEO劫持项里又发现两个：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\asktao.mod]
<IFEO[asktao.mod]><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdlm.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
<IFEO[my.exe]><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\lmmh.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Play.exe]
<IFEO[Play.exe]><C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\lmmy.exe> []

在Xdelbox工具中添加这下面三个文件重启删除。
C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\wdlm.exe
C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\lmmh.exe
C:\WINDOWS\Fonts\00-0A-E4-63-CF-E9\system\lmmy.exe

目标GO - 2008-1-11 0:33:00

谢谢高人相助，小弟根据指导，瑞星恢复正常了！！

目标GO - 2008-1-12 19:24:00

新问题:每次全盘杀毒(包括在安全模式下杀)总有些毒,杀了以后又出来.下面是我上传的扫描报告.希望高手解答.

附件: 10007872008112191232.txt

天月来了 - 2008-1-12 20:09:00

你发那有什么用。

得具体说说病毒文件名和路径才好判断。

目标GO - 2008-1-12 20:51:00

谢谢,我把我的病毒日志全部导出了,以下是附件

附件: 10007872008112204012.txt

豪斯登堡新郎 - 2008-1-12 22:57:00

再扫份SRE报告上来

瑞星卡卡安全论坛