瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【求助】中毒了,瑞星不见了,请高手看看。
冰冰雨 - 2008-1-16 23:44:00
瑞星不见了,杀不了毒了,好多问题。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5))


附件: 5921252008116233326.txt
冰冰雨 - 2008-1-17 14:48:00
救命!!!高手到哪去了???
天月来了 - 2008-1-17 16:09:00
太多毒了,建议处理完后,重装个新系统

你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,(一定要解压出来运行,不要懒)运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\WinForm.exE
C:\WINDOWS\arqhor.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\210531M.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\ikzfia.exe
C:\WINDOWS\210531L.exe
C:\WINDOWS\Fonts\kvdxsoma.dll
C:\WINDOWS\Fonts\avwgjmn.dll
C:\WINDOWS\Fonts\rsmykpm.dll
C:\WINDOWS\Fonts\raqjmpi.dll
C:\WINDOWS\Fonts\avwlkmn.dll
C:\WINDOWS\Fonts\gjfhbyc.dll
C:\WINDOWS\Fonts\swrcgzc.dll
C:\WINDOWS\system32\kaqhlzy.dll
C:\WINDOWS\Fonts\hookhelp.dll
C:\WINDOWS\system32\wsmsezx.dll
C:\WINDOWS\Fonts\avzxnmn.dll
C:\WINDOWS\Fonts\okmhfzy.dll
C:\WINDOWS\Fonts\ratbupi.dll
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\Fonts\kawdjzy.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\wsmsfzx.dll
C:\WINDOWS\Fonts\kaqhmzy.dll
C:\WINDOWS\Fonts\rarjfpi.dll
C:\WINDOWS\Fonts\kvdxmma.dll
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\drivers\csrss.exe
C:\WINDOWS\system32\drivers\gnpiphfq.sys
C:\WINDOWS\System32\DRIVERS\kgbokz88.sys
C:\WINDOWS\system32\DRIVERS\msacpe.sys
C:\WINDOWS\System32\DRIVERS\ocnxap27.sys
C:\WINDOWS\system32\fat32.sys
C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.win
C:\Program Files\Internet Explorer\IEXPLORE32.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.Dat
C:\WINDOWS\Fonts\kvdxsoma.dll
C:\WINDOWS\Fonts\avwgjmn.dll
C:\WINDOWS\Fonts\rsmykpm.dll
C:\WINDOWS\Fonts\raqjmpi.dll
C:\WINDOWS\Fonts\avwlkmn.dll
C:\WINDOWS\Fonts\gjfhbyc.dll
C:\WINDOWS\Fonts\swrcgzc.dll
C:\WINDOWS\Fonts\hookhelp.dll
C:\WINDOWS\Fonts\avzxnmn.dll
C:\WINDOWS\Fonts\okmhfzy.dll
C:\WINDOWS\Fonts\ratbupi.dll
C:\WINDOWS\Fonts\kawdjzy.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\wsmsfzx.dll
C:\WINDOWS\Fonts\kaqhmzy.dll
C:\WINDOWS\Fonts\rarjfpi.dll
C:\WINDOWS\Fonts\kvdxmma.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\210531MM.DLL
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\210531WL.DLL
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\auhad.dll
C:\WINDOWS\system32\uohsom.dll
C:\WINDOWS\system32\iemnaw.dll
C:\WINDOWS\system32\gnaixnauhqq.dll

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <WinForm><C:\WINDOWS\WinForm.exE>  []
    <WSockDrv32><C:\WINDOWS\arqhor.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  []
    <WinSysM><C:\WINDOWS\210531M.exe>  []
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <MsPrint32D><C:\WINDOWS\ikzfia.exe>  []
    <WinSysW><C:\WINDOWS\210531L.exe>  []
    <{FD561258-45F3-A451-F908-A258458226DF}><C:\WINDOWS\Fonts\kvdxsoma.dll>  []
    <{AA1247C1-53DA-FF43-ABD3-345F323A48DA}><C:\WINDOWS\Fonts\avwgjmn.dll>  []
    <{BE32FA58-3453-FA2D-BC49-F340348ACCEB}><C:\WINDOWS\Fonts\rsmykpm.dll>  []
    <{D4783410-4F90-34A0-7820-3230ACD05F4D}><C:\WINDOWS\Fonts\raqjmpi.dll>  []
    <{B960356A-458E-DE24-BD50-268F589A56AB}><C:\WINDOWS\Fonts\avwlkmn.dll>  []
    <{2D908534-AD45-920F-AC89-4024FA9D26D2}><C:\WINDOWS\Fonts\gjfhbyc.dll>  []
    <{878A7521-FA87-34AB-34C2-4893F3AD34C8}><C:\WINDOWS\Fonts\swrcgzc.dll>  []
    <{C7D81718-1314-5200-2597-58790101807C}><C:\WINDOWS\system32\kaqhlzy.dll>  [N/A]
    <{E159854F-6971-3456-6941-10235412974E}><C:\WINDOWS\Fonts\hookhelp.dll>  []
    <{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}><C:\WINDOWS\system32\wsmsezx.dll>  [N/A]
    <{E859245F-345D-BC13-AC4F-145D47DA34FE}><C:\WINDOWS\Fonts\avzxnmn.dll>  []
    <{6A57CAD1-412F-9547-713F-9641FA3FC7A6}><C:\WINDOWS\Fonts\okmhfzy.dll>  []
    <{67650011-3344-6688-4899-345FABCD1576}><C:\WINDOWS\Fonts\ratbupi.dll>  []
    <{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll>  [N/A]
    <{A8907901-1416-3389-9981-37217856998A}><C:\WINDOWS\Fonts\kawdjzy.dll>  []
    <{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll>  []
    <{892FADFA-BCDE-ACDF-CDEF-21054865CBA8}><C:\WINDOWS\Fonts\wsmsfzx.dll>  []
    <{D7D81718-1314-5200-2597-58790101807D}><C:\WINDOWS\Fonts\kaqhmzy.dll>  []
    <{6598FF45-DA60-F48A-BC43-10AC47853D56}><C:\WINDOWS\Fonts\rarjfpi.dll>  []
    <{DC87A354-ABC3-DEDE-FF33-3213FD7447CD}><C:\WINDOWS\Fonts\kvdxmma.dll>  []
这下面类似的很多,得耐心点删
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    <IFEO[avp.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]
    <IFEO[Iparmor.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe]
    <IFEO[kavsvc.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
........................................................
..............................................
...................................
..........................
................
......
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改置空:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><hookhelp.dll>  [N/A]
就是将  <AppInit_DLLs><hookhelp.dll>  [N/A] 项置空为:
    <AppInit_DLLs><>  [N/A]
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[C-DillaCdaC11BA / C-DillaCdaC11BA][Running/Auto Start]
  <C:\WINDOWS\system32\drivers\CDAC11BA.EXE><Macrovision>
[Events Log / Event][Stopped/Auto Start]
  <C:\WINDOWS\system32\drivers\csrss.exe -k NetworkService><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[gnpiphfq / gnpiphfq][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\gnpiphfq.sys><N/A>
[kgbokz8 / kgbokz88][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\kgbokz88.sys><N/A>
[mseqsy / mseqsy][Running/Auto Start]
  <system32\DRIVERS\msacpe.sys><N/A>
[ocnxap2 / ocnxap27][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\ocnxap27.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\fat32.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {471B15AD-7A9C-491D-9C19-4E15B12DCE00} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
[]
  {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} <C:\Program Files\Internet Explorer\IEXPLORE32.win, N/A>
[]
  {C5E87A05-F463-4841-B19E-DD3EC3862368} <C:\Program Files\Internet Explorer\IEXPLORE32.Sys, N/A>
[]
  {EE12D60D-AD9A-4095-B839-3BE6862679FD} <C:\Program Files\Internet Explorer\IEXPLORE32.Dat, N/A>
[]
  {471B15AD-7A9C-491D-9C19-4E15B12DCE00} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
[]
  {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} <C:\Program Files\Internet Explorer\IEXPLORE32.win, N/A>
[]
  {C5E87A05-F463-4841-B19E-DD3EC3862368} <C:\Program Files\Internet Explorer\IEXPLORE32.Sys, N/A>
[]
  {EE12D60D-AD9A-4095-B839-3BE6862679FD} <C:\Program Files\Internet Explorer\IEXPLORE32.Dat, N/A>
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。
天月来了 - 2008-1-17 16:10:00
太多毒了,眼都看花了。

可能有遗漏。

建议处理完,再扫个新日志来看看结果。
冰冰雨 - 2008-1-18 22:57:00
老大,照你说的做完,瑞星还打不开也升不了级。再扫个日志给你看。

附件: 5921252008118224717.txt
wjia - 2008-1-19 1:20:00
该用户帖子内容已被屏蔽
冰冰雨 - 2008-1-19 16:30:00
还没杀完毒吗?快来帮帮我呀!
冰冰雨 - 2008-1-19 16:33:00
天月快来看看吧!拜托!
天月来了 - 2008-1-19 16:39:00


你是不是使用原机文件了啊???

注意啊

其他盘的文件,不能再轻易用了啊。

得等杀毒软件全盘杀完毒,才能再做别的事哦。

再扫个最新日志来看看。
冰冰雨 - 2008-1-19 16:47:00
天月老大,我不明白什么是原机文件,杀毒软件就打不开没法杀毒呀。
天月来了 - 2008-1-19 16:51:00
除系统盘外的其他盘的任何文件都不能使用。


如果你的杀毒软件安装在其他盘,就只能卸载了事。重装杀软。

不过我建议你在处理完病毒后,进系统不要忙别的了,直接去下载江民那免费30天的杀软。安装升级后全盘杀完毒再去忙别的事。

先扫个最新日志来吧,18号那天的日志里看到一堆毒。
冰冰雨 - 2008-1-19 17:02:00
刚扫了一下,现在卸载重装杀毒软件。

附件: 5921252008119165108.txt
天月来了 - 2008-1-19 17:05:00
卸载可以,重装暂时没必要。

因为一堆毒,重装也没用。
天月来了 - 2008-1-19 17:18:00
这次一定要断网处理,准备好以后。

你还用Xdelbox这个工具去删除这些文件。
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,(一定要解压出来运行,不要懒)运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox,勾选“抑制文件再生”,直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\cjarcg.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\Fonts\wsmsgzx.dll
C:\WINDOWS\Fonts\avzxomn.dll
C:\WINDOWS\Fonts\hookhelp.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\Kvsc3.dll

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:

启动项目
注册表
    <NVDispDrv><C:\WINDOWS\cjarcg.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <{992FADFA-BCDE-ACDF-CDEF-21054865CBA9}><C:\WINDOWS\Fonts\wsmsgzx.dll>  []
    <{002720B8-E519-4187-ADF4-B4E313A99947}><>  [N/A]
    <{F859245F-345D-BC13-AC4F-145D47DA34FF}><C:\WINDOWS\Fonts\avzxomn.dll>  []
    <{E159854F-6971-3456-6941-10235412974E}><C:\WINDOWS\Fonts\hookhelp.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvcUI.exe]
    <IFEO[KAVsvcUI.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE.exe]
    <IFEO[KVFW.EXE.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe]
    <IFEO[KVMonXP.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVsrvXP.exe]
    <IFEO[KVsrvXP.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe]
    <IFEO[KVwsc.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
    <IFEO[navapsvc.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]
    <IFEO[Navapw32.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe]
    <IFEO[PFW.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rav.exe]
    <IFEO[rav.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmon.exe]
    <IFEO[RAVmon.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.exe]
    <IFEO[RAVmonD.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtimer.exe]
    <IFEO[ravtimer.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rising.exe]
    <IFEO[rising.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
    <IFEO[runiep.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
————————————————————————————————————
再重启电脑,网上下载杀毒软件,重装并升级杀毒软件至最新版本全盘杀毒。

不要进系统以后还忍不住到处点点戳戳的弄别的文件玩。

就只上网下载官网的杀毒软件安装升级。

别网上到处跑着玩。
天月来了 - 2008-1-19 17:19:00
同时还可以这里下载Windows清理助手,清理你那系统。
http://www.arswp.com/
冰冰雨 - 2008-1-19 17:23:00
老大的话很对,现在九断网杀毒了
冰冰雨 - 2008-1-19 17:25:00
谢谢老大,把那个Windows清理助手下了先:)
天月来了 - 2008-1-19 17:27:00
喂!!!

那个Xdelbox也一并重新下载

原来那个不要了。
冰冰雨 - 2008-1-19 17:31:00
好的
天月来了 - 2008-1-19 17:34:00
还搁这耽误呢???

再不断网,鬼才知道又会下载些什么毒塞你电脑里呢!!!!

呵呵!!!
108feiniu - 2008-1-19 17:53:00
还没见过有那么多病毒的。。。汗~
冰冰雨 - 2008-1-20 18:58:00
谢谢天月,杀了490个毒啊。老大,能讲讲扫描的日志怎么看出来问题的吗?还有如何加强防毒措施?
天月来了 - 2008-1-20 19:19:00


今天才来啊?

现在系统怎样了呢?杀软开启了啊?还正常吗?

看日志,那就只有天天看,看半年,看几千贴了。别的没法。

至于加强嘛,也不好说,还是得彻底熟悉系统知识才好防护自己的电脑。

冰冰雨 - 2008-1-21 23:24:00
杀毒正常了,但运行的慢了好像。
看来要宝剑锋自磨砺出了,佩服!
1
查看完整版本: 【求助】中毒了,瑞星不见了,请高手看看。
© 2000 - 2026 Rising Corp. Ltd.