瑞星卡卡安全论坛
ritachen - 2008-1-10 14:49:00
我这两天电脑中病毒了,我的操作方法是直接删除病毒,但当我隔了不久再重新杀病毒时,这些已经被我删除掉的病毒竟然还四而复生?!请问哪个电脑高手是否知道该如何将这些病毒杀个清光,且让它永不复生呢? 谢谢.
我所使用的是最新瑞雪杀毒软件2008和卡卡上网助手,电脑系统:Microsoft Windows XP Professional 版本:2002 Service Pack 2
附件:
10021492008110143748.txt
日不懂啊 - 2008-1-10 14:52:00
删除这个服务
+ HKLM\System\CurrentControlSet\Services
727496
[A ] 1. c:\windows\system32\727496.exe
这个病毒就永不超生了
但其他病毒嘛~~~
就靠自己防护啦
流星陨落 - 2008-1-10 14:56:00
搞计划生育嘛
ritachen - 2008-1-10 15:03:00
谢谢.
suzhou758 - 2008-1-10 15:05:00
做个绝育手术吧
ritachen - 2008-1-10 16:35:00
c:\windows\system32\727496.exe---怎么重启后还是有病毒,而且这个文件还存在哦.郁闷哦,这到底是怎么回事啊?
请问是否还有更有效的方法啊? 谢谢.
CAPTjoe - 2008-1-10 16:49:00
| 引用: |
【ritachen的贴子】c:\windows\system32\727496.exe---怎么重启后还是有病毒,而且这个文件还存在哦.郁闷哦,这到底是怎么回事啊?
请问是否还有更有效的方法啊? 谢谢.
……………… |
因为病毒的驱动还在,所以可以复活。
建议:下载 System Repair Engineer系统扫描工具(http://download.kztechs.com/files/sreng2.zip)
1、解压缩所下载的sreng2.zip压缩包;
2、打开已经解压缩的SRENG文件夹,双击运行其中的SREngPS.exe;
3、依次点击“智能扫描”、勾选“检查进程模块的数字签名”、“扫描”、“保存报告”
4、将所保存的日志(SREngLOG.log)改名为SREngLOG.txt以附件的形式传上来。(如果无法更改SREngLOG.log的后缀名,请新建一个文本文件,打开SREngLOG.log,将所有的内容复制到新建的文本文件,保存该文本文件,然后上传该文件。)
5、SRENG操作图文详解:http://forum.ikaka.com/topic.asp?board=36&artid=8341507
6. 扫描日志前请关闭所有可以关闭的应用软件,如QQ、IE、迅雷、媒体播放器等。
┾断┡ē誸 - 2008-1-10 17:29:00
安装瑞星
suzhou758 - 2008-1-10 17:36:00
没杀干净啊~
ritachen - 2008-1-10 17:46:00
| 引用: |
【ritachen的贴子】我这两天电脑中病毒了,我的操作方法是直接删除病毒,但当我隔了不久再重新杀病毒时,这些已经被我删除掉的病毒竟然还四而复生?!请问哪个电脑高手是否知道该如何将这些病毒杀个清光,且让它永不复生呢? 谢谢.
我所使用的是最新瑞雪杀毒软件2008和卡卡上网助手,电脑系统:Microsoft Windows XP Professional 版本:2002 Service Pack 2
……………… |
附件:
10021492008110173520.txt
CAPTjoe - 2008-1-10 17:52:00
日志不全,请重新上传全部日志
ritachen - 2008-1-10 17:57:00
| 引用: |
【CAPTjoe的贴子】日志不全,请重新上传全部日志
……………… |
请重新查看.谢谢.
附件:
10021492008110174526.txt
CAPTjoe - 2008-1-10 18:32:00
建议:打开SREng-在"启动项目->注册表->删除以下启动项目
[winform] <; C:\WINDOWS\winform.exe>
[upxdnd] <; C:\DOCUME~1\midia\LOCALS~1\Temp\upxdnd.exe>
[TkBellExe] <; >
[stup1.exe] <; >
[stup.exe] <; >
[mppds] <; C:\WINDOWS\mppds.exe>
[load] <; C:\WINDOWS\uninstall\rundl132.exe>
[cmdbcs] <; C:\WINDOWS\cmdbcs.exe>
[AVPSrv] <; C:\WINDOWS\AVPSrv.exe>
[sxs2] <; >
打开SREng-在"启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除(选中有问题的服务后,点“删除服务”,点“设置”按钮即可。 注意弹出的窗口中要点 “NO 否”才是确认删除服务)(不能删除的就禁用:启动类型(下拉选项)改为disabled,点中"修改启动类型",点设置):
服务
[727496 / 727496] <C:\WINDOWS\system32\727496.exe -service>
[conime / conime] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\conime\conime.dll>
[Windows Time / W32Time] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\wbem\ynamtmvnb.dll>
[System Event loader / sysloader] <"C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe">
打开SREng-在"启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除(选中有问题的服务后,点“删除服务”,点“设置”按钮即可。 注意弹出的窗口中要点 “NO 否”才是确认删除服务)(不能删除的就禁用:启动类型(下拉选项)改为disabled,点中“修改启动类型”,点设置):
[53739 / 53739] <\SystemRoot\system32\drivers\53739.sys>
[Netgroup Packet Filter / NPF] <system32\drivers\npf.sys>
[npkcrypt / npkcrypt] <\??\C:\Documents and Settings\midia\My Documents\npkcrypt.sys>
系统修复-- 浏览器加载项之如下项删除:
[QQCycloneHelper Class] <C:\Program Files\Tencent\QQDownload\QQIEHelper01.dll>
[] <C:\WINDOWS\system32\Abxp.dll>
[] <C:\WINDOWS\system32\Llsdju.dll>
[] <C:\WINDOWS\system32\Jljhf.dll>
[] <C:\WINDOWS\system32\Yalur.dll>
[] <C:\WINDOWS\system32\Mkij.dll>
[] <C:\WINDOWS\system32\Wrkrn.dll>
[] <C:\WINDOWS\system32\Rgtd.dll>
[] <C:\WINDOWS\system32\Puork.dll>
[] <C:\WINDOWS\system32\Vciaod.dll>
[] <C:\WINDOWS\system32\Evemav.dll>
[] <C:\WINDOWS\system32\Xgswt.dll>
[] <C:\WINDOWS\system32\Sjcnyh.dll>
[] <C:\WINDOWS\system32\Whpc.dll>
[] <C:\WINDOWS\system32\Xyxn.dll>
[] <C:\WINDOWS\system32\Wfgap.dll>
[] <C:\Program Files\Common Files\fjOs0r.dll>
[] <C:\WINDOWS\system32\Dplzmv.dll>
[] <C:\WINDOWS\system32\Sucnmt.dll>
[] <C:\WINDOWS\system32\Ehsmzk.dll>
[] <C:\WINDOWS\system32\Jbzswh.dll>
[] <C:\WINDOWS\system32\Firqqn.dll>
[] <C:\WINDOWS\system32\Idpb.dll>
[] <C:\WINDOWS\system32\Fybpl.dll>
[] <C:\WINDOWS\system32\Ckik.dll>
[] <C:\WINDOWS\system32\Xkkey.dll>
[] <C:\WINDOWS\system32\Rvmxvo.dll>
[] <C:\WINDOWS\system32\Peikl.dll>
[] <C:\WINDOWS\system32\Qjzwnq.dll>
[] <C:\WINDOWS\system32\Fqvalb.dll>
[] <C:\WINDOWS\system32\Jfrz.dll>
[] <C:\WINDOWS\system32\Twhx.dll>
[] <C:\WINDOWS\system32\Pzwcpg.dll>
[] <C:\WINDOWS\system32\Aywzrj.dll>
[] <C:\WINDOWS\system32\Pumr.dll>
[] <C:\WINDOWS\system32\Pvnvvf.dll>
[] <C:\WINDOWS\system32\Cbybtt.dll>
[] <C:\WINDOWS\system32\Csiipb.dll>
[] <C:\WINDOWS\system32\Tsbmzy.dll>
[] <C:\WINDOWS\system32\Rgtd.dll>
[] <C:\WINDOWS\system32\Wrkrn.dll>
[] <C:\WINDOWS\system32\xxqwffwlrnfrx.dll>
[] <C:\WINDOWS\system32\Mkij.dll>
[] <C:\WINDOWS\system32\Yalur.dll>
[] <C:\WINDOWS\system32\Jljhf.dll>
[] <C:\WINDOWS\system32\Llsdju.dll>
[] <C:\WINDOWS\system32\Abxp.dll>
[] <C:\WINDOWS\system32\Puork.dll>
[] <C:\WINDOWS\system32\Vciaod.dll>
[] <C:\WINDOWS\system32\Evemav.dll>
[] <C:\WINDOWS\system32\Xgswt.dll>
[] <C:\WINDOWS\system32\Sjcnyh.dll>
[] <C:\WINDOWS\system32\Whpc.dll>
[] <C:\WINDOWS\system32\Xyxn.dll>
[] <C:\WINDOWS\system32\Wfgap.dll>
[] <C:\Program Files\Common Files\fjOs0r.dll>
[] <C:\WINDOWS\system32\Dplzmv.dll>
[] <C:\WINDOWS\system32\Sucnmt.dll>
[] <C:\WINDOWS\system32\Ehsmzk.dll>
[] <C:\WINDOWS\system32\Jbzswh.dll>
[] <C:\WINDOWS\system32\Firqqn.dll>
[] <C:\WINDOWS\system32\Idpb.dll>
[] <C:\WINDOWS\system32\Fybpl.dll>
[] <C:\WINDOWS\system32\Ckik.dll>
[] <C:\WINDOWS\system32\Xkkey.dll>
[] <C:\WINDOWS\system32\Rvmxvo.dll>
[] <C:\WINDOWS\system32\Peikl.dll>
[] <C:\WINDOWS\system32\Qjzwnq.dll>
[] <C:\WINDOWS\system32\Fqvalb.dll>
[] <C:\WINDOWS\system32\Jfrz.dll>
[] <C:\WINDOWS\system32\Twhx.dll>
[] <C:\WINDOWS\system32\Pzwcpg.dll>
[] <C:\WINDOWS\system32\Aywzrj.dll>
[] <C:\WINDOWS\system32\Pumr.dll>
[] <C:\WINDOWS\system32\Pvnvvf.dll>
[] <C:\WINDOWS\system32\Cbybtt.dll>
[] <C:\WINDOWS\system32\Csiipb.dll>
[] <C:\WINDOWS\system32\Tsbmzy.dll>
重新启动电脑,检查下列文件是否存在,如果存在则备份到其他位置,然后将原文件删除
c:\windows\system32\conime\conime.dll
c:\windows\winform.exe
c:\docume~1\midia\locals~1\temp\upxdnd.exe
c:\windows\mppds.exe
c:\windows\uninstall\rundl132.exe
c:\windows\cmdbcs.exe
c:\windows\avpsrv.exe
c:\windows\system32\727496.exe
c:\windows\system32\conime\conime.dll
c:\windows\system32\wbem\ynamtmvnb.dll
c:\documents and settings\all users\application data\microsoft\office\system\sysc:\windows\system32\loader.exe
c:\windows\system32\drivers\53739.sys
c:\windows\system32\drivers\npf.sys
c:\documents and settings\midia\my documents\npkcrypt.sys
c:\program files\tencent\qqdownload\qqiehelper01.dll
c:\windows\system32\abxp.dll
c:\windows\system32\llsdju.dll
c:\windows\system32\jljhf.dll
c:\windows\system32\yalur.dll
c:\windows\system32\mkij.dll
c:\windows\system32\wrkrn.dll
c:\windows\system32\rgtd.dll
c:\windows\system32\puork.dll
c:\windows\system32\vciaod.dll
c:\windows\system32\evemav.dll
c:\windows\system32\xgswt.dll
c:\windows\system32\sjcnyh.dll
c:\windows\system32\whpc.dll
c:\windows\system32\xyxn.dll
c:\windows\system32\wfgap.dll
c:\program files\common files\fjos0r.dll
c:\windows\system32\dplzmv.dll
c:\windows\system32\sucnmt.dll
c:\windows\system32\ehsmzk.dll
c:\windows\system32\jbzswh.dll
c:\windows\system32\firqqn.dll
c:\windows\system32\idpb.dll
c:\windows\system32\fybpl.dll
c:\windows\system32\ckik.dll
c:\windows\system32\xkkey.dll
c:\windows\system32\rvmxvo.dll
c:\windows\system32\peikl.dll
c:\windows\system32\qjzwnq.dll
c:\windows\system32\fqvalb.dll
c:\windows\system32\jfrz.dll
c:\windows\system32\twhx.dll
c:\windows\system32\pzwcpg.dll
c:\windows\system32\aywzrj.dll
c:\windows\system32\pumr.dll
c:\windows\system32\pvnvvf.dll
c:\windows\system32\cbybtt.dll
c:\windows\system32\csiipb.dll
c:\windows\system32\tsbmzy.dll
c:\windows\system32\xxqwffwlrnfrx.dll
CAPTjoe - 2008-1-10 18:37:00
上百项的浏览器加载项,楼主创纪录了!
作完12楼后请重新扫日志传上来。
ritachen - 2008-1-10 21:42:00
| 引用: |
【CAPTjoe的贴子】上百项的浏览器加载项,楼主创纪录了!
作完12楼后请重新扫日志传上来。
……………… |
请查看附件中重启后的扫描报告,谢谢.
附件:
10021492008110213039.txt
CAPTjoe - 2008-1-10 21:59:00
日志未见明显异常。杀软还报警吗?
ritachen - 2008-1-11 10:16:00
【回复“CAPTjoe”的帖子】
晕罗,我的妈妈咪哦,那几个超级无敌执着的顽固分子还存在啊.这到底是怎么回事啊? 麻烦高手你帮帮我看看还有哪些可补救办法? 谢谢.
ritachen - 2008-1-11 10:34:00
| 引用: |
【ritachen的贴子】【回复“CAPTjoe”的帖子】
晕罗,我的妈妈咪哦,那几个超级无敌执着的顽固分子还存在啊.这到底是怎么回事啊? 麻烦高手你帮帮我看看还有哪些可补救办法? 谢谢.
……………… |
请查看我刚刚重新扫描的报告结果. 谢谢.
附件:
10021492008111102303.txt
CAPTjoe - 2008-1-11 10:58:00
建议:
系统修复--浏览器加载项--删除如下项目
[Adobe Common Objects]
{C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\Office\USERDATA\nsm45_183D4182.dll, Microsoft Corporation>
[Adobe Common Objects]
{C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\Office\USERDATA\nsm45_183D4182.dll, Microsoft Corporation>
另:请描述杀软报警内容。
ritachen - 2008-1-11 11:17:00
瑞星杀毒软件检测出的病毒,如下:
Trojan.Win32.Dodolookcj 需要解压缩后杀毒
Trojan.Win32.Dodolookci 需要解压缩后杀毒
Trojan.Win32.Undef.ca 需要解压缩后杀毒
CAPTjoe - 2008-1-11 11:22:00
【回复“ritachen”的帖子】
老大,描述请详细一些,文件名,路径等等。有条件的话贴一张截图上来。
ritachen - 2008-1-11 11:31:00
| 引用: |
【CAPTjoe的贴子】【回复“ritachen”的帖子】
老大,描述请详细一些,文件名,路径等等。有条件的话贴一张截图上来。
……………… |
请查看附件中的截图.谢谢.
附件:
10021492008111112014.jpg
CAPTjoe - 2008-1-11 12:02:00
1.显示隐藏文件:双击我的电脑--工具--文件夹选项--查看--选“显示隐藏文件和文件夹”,勾销“隐藏受保护的系统文件”--确定
找到下列文件,直接删除:
C:\WINDOWS\dodolook375.exe
c:\Document and Sentting\All Users\Apllication Data\Microsoft\OFFICE\USERDATA\orite.exe
2.如果无法删除,请参阅置顶帖的方法删除http://forum.ikaka.com/topic.asp?board=40&artid=8391084
3.右击c盘--属性--磁盘清理--勾选“临时文件”--确定。
ritachen - 2008-1-11 12:44:00
| 引用: |
【CAPTjoe的贴子】1.显示隐藏文件:双击我的电脑--工具--文件夹选项--查看--选“显示隐藏文件和文件夹”,勾销“隐藏受保护的系统文件”--确定
找到下列文件,直接删除:
C:\WINDOWS\dodolook375.exe
c:\Document and Sentting\All Users\Apllication Data\Microsoft\OFFICE\USERDATA\orite.exe
2.如果无法删除,请参阅置顶帖的方法删除http://forum.ikaka.com/topic.asp?board=40&artid=8391084
3.右击c盘--属性--磁盘清理--勾选“临时文件”--确定。
……………… |
按照你的建议(惟独勾消"隐藏受保护的系统文件没听从)操作后,我重启电脑然后杀毒,终于无发现之前那个几个死赖着不走的顽固分子了,真是太谢谢,太谢谢你---高手,高高手.嘻嘻嘻...
ritachen - 2008-1-11 12:52:00
谢谢所有关注此问题以及为我出谋划策的人们,真的非常谢谢大家.
1
© 2000 - 2026 Rising Corp. Ltd.