瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【求助】瑞星的伞变成红色的(有更新)
yama0807 - 2008-1-23 20:28:00
天月我用你方法做了,可是在导入xdel的时候,igb那几个文件导进去和源文件名不一样,所以那几个文件还是有的,见下

eg:原文件名c:\windows\system32\igb_djol_1021.dll
            c:\windows\system32\igb_wmsj_1008.dll

    导入后就变成c:\windows\system32\igb_dj~1.dll
                c:\windows\system32\igb_wm~1.dll

然后不就是重启吗,显示的是not found

这是新日志:http://images.rising.com.cn/uploadfiles/20081/24/7442132008124122917.txt

附件: 7442132008124122917.txt
天月来了 - 2008-1-23 20:36:00
很麻烦,愿意的话,重装系统或GHOST恢复系统。

要不等会试手工操作清理。

yama0807 - 2008-1-23 20:38:00
我不会重装呀,手工怎么弄,交交我
冰箱里的大象 - 2008-1-23 20:42:00
引用:
【天月来了的贴子】很麻烦,愿意的话,重装系统或GHOST恢复系统。

要不等会试手工操作清理。


………………

你这不是帮倒忙吗?

运用瑞星的添加删除组件将监控卸载,再运用瑞星的添加删除组件将监控添加即可。

或者到瑞星的程序文件夹D:\Program Files\Rising\Rav\Update,运行程序Setup,覆盖一遍即可。
yama0807 - 2008-1-23 20:45:00
楼上的大哥我的机子是中了病毒,你看不出来吗
天月来了 - 2008-1-23 20:56:00
注意一定要断网杀毒,不然不能成功的。
——————————————————————————————————————
你只有用Xdelbox这个工具去删除这些文件了。
下载XDELBOX,地址和使用方法:
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的,使用时一定拔掉所有移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\nsiuxhqqw.exe
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system32\IGB_DJOL_1021.dll
C:\WINDOWS\system32\IGB_WMSJ_1008.dll
C:\WINDOWS\system32\IGB_WMGJ_1022.dll
C:\WINDOWS\system32\IGB_ZX_1016.dll
C:\WINDOWS\system32\IGB_JZ_1018.dll
C:\WINDOWS\Fonts\rsjzbpm.dll
C:\WINDOWS\system32\IGB_CQSJ_1008.dll
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\WINDOWS\system32\yld32.dll
C:\WINDOWS\phwvisxr.dll
C:\WINDOWS\vviecohb.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rsqq.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ydtlsfl.dll
C:\WINDOWS\system32\drivers\ntfs.dll

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
————————————————————————————————————————
从下面项,可看出系统文件userinit.exe已被病毒替换,可以去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe文件,复制到C:\WINDOWS\system32文件夹里替换。或者在附件里下载,那是我这XP系统里的userinit.exe文件。替换前先结束Userinit.exe进程。没进程就直接替换。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <nsiuxhqqw><nsiuxhqqw.exe>  []
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys>  [N/A]
    <{20e92ce9-cb7a-4d99-9e86-78389df1dfd2}><C:\WINDOWS\system32\IGB_DJOL_1021.dll>  []
    <{efc11f26-5b84-4aba-bc7e-1a3eb14118a0}><C:\WINDOWS\system32\IGB_WMSJ_1008.dll>  []
    <{272fd92f-0d1a-4317-b053-4d2e231eb1c7}><C:\WINDOWS\system32\IGB_WMGJ_1022.dll>  [N/A]
    <{08af88f8-e0bd-4e35-b421-a41dce21415d}><C:\WINDOWS\system32\IGB_ZX_1016.dll>  [N/A]
    <{00C2C07C-E519-4187-ADF4-B4E313A99947}><>  [N/A]
    <{43708bf6-be99-4a60-a6e6-7e2df49d6e3f}><C:\WINDOWS\system32\IGB_JZ_1018.dll>  [N/A]
    <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll>  [N/A]
    <{a3d7c0d2-8c19-48c6-92c9-e1c0cccccd66}><C:\WINDOWS\system32\IGB_CQSJ_1008.dll>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》高级修复》重置Winsock  (注意!!!一定要修复,然后重启电脑,然后你才能上网,不要厌烦重启电脑,手工处理病毒,这都是必须的)
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本,全盘杀毒。
天月来了 - 2008-1-23 20:59:00
正宗的机器狗病毒。

那个userinit.exe在这的附件里,实际你的系统里还有个备份的,在C:\WINDOWS\system32\dllcache文件夹里

附件: 8390772008123204804.rar
天月来了 - 2008-1-23 21:03:00
引用:
【冰箱里的大象的贴子】
你这不是帮倒忙吗?

运用瑞星的添加删除组件将监控卸载,再运用瑞星的添加删除组件将监控添加即可。

或者到瑞星的程序文件夹D:\Program Files\Rising\Rav\Update,运行程序Setup,覆盖一遍即可。
………………

一般在中了机器狗的电脑里不建议过快的更新杀毒软件处理系统,因为可能会杀了那个userinit.exe病毒文件,而导致用户重启后,不能进系统。
豪斯登堡新郎 - 2008-1-23 21:09:00
1,从c:\windows\system32\dllcache文件中复制userinit.exe文件替换c:\windows\system32\下的userinit.exe文件

2,用SRE修复以下:
    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[Symantec AntiVirus Definition Watcher / DefWatch]   

    启动项目 -- 服务-- 驱动程序之如下项删除:
[msskye / msskye]    <system32\DRIVERS\msaclue.sys>
[NAVENG / NAVENG]    <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20050831.016\naveng.sys>
[NAVEX15 / NAVEX15]    <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20050831.016\navex15.sys>
[NetGroup Packet Filter Driver / NPF]    <system32\drivers\npf.sys>


3.用XDelBox以抑制再生方式删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\nsiuxhqqw.exe
c:\windows\system32\yld32.dll
c:\windows\system32\igb_djol_1021.dll
c:\windows\system32\igb_wmsj_1008.dll
c:\windows\phwvisxr.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\dbghlp32.dll
c:\windows\vviecohb.dll
c:\windows\system32\cuhad.dll
c:\windows\system32\duygnef.dll
c:\windows\system32\rsqq.dll
c:\windows\system32\xjxr.dll
c:\windows\system32\ydtlsfl.dll
c:\windows\system32\drivers\ntfs.dll
c:\windows\system32\igb_cqsj_1008.dll
c:\windows\fonts\rsjzbpm.dll
c:\windows\system32\igb_jz_1018.dll
c:\windows\system32\igb_zx_1016.dll
c:\windows\system32\igb_wmgj_1022.dll
c:\program files\internet explorer\plugins\wn_sys8x.sys
C:\WINDOWS\NSIUXHQQW.EXE
c:\windows\cmdbcs.exe
c:\windows\dbghlp32.exe
c:\windows\system32\drivers\msaclue.sys
c:\progra~1\common~1\symant~1\virusd~1\20050831.016\naveng.sys
c:\progra~1\common~1\symant~1\virusd~1\20050831.016\navex15.sys
c:\windows\system32\drivers\npf.sys
C:\WINDOWS\system32\yld32.dll

4.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{a3d7c0d2-8c19-48c6-92c9-e1c0cccccd66}] 
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}]   
[{43708bf6-be99-4a60-a6e6-7e2df49d6e3f}]   
[{00C2C07C-E519-4187-ADF4-B4E313A99947}]   
[{08af88f8-e0bd-4e35-b421-a41dce21415d}]   
[{272fd92f-0d1a-4317-b053-4d2e231eb1c7}]   
[{efc11f26-5b84-4aba-bc7e-1a3eb14118a0}]   
[{20e92ce9-cb7a-4d99-9e86-78389df1dfd2}]   
[{9963387B-212E-4643-B207-82DAEA0E713D}]   
[nsiuxhqqw]   
[cmdbcs]   
[DbgHlp32]   
 
    系统修复-浏览器加载项之如下删除:
[]
  {9963387B-212E-4643-B207-82DAEA0E713D}

    系统修复-Winsock 供应者之如下删除:
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)

5.更新杀毒软件至最新,进行全盘杀毒
豪斯登堡新郎 - 2008-1-23 21:11:00
天月来了 - 2008-1-23 21:27:00
引用:
【豪斯登堡新郎的贴子】
………………

[NAVENG / NAVENG][Stopped/Manual Start]
  <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20050831.016\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15][Stopped/Manual Start]
  <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20050831.016\navex15.sys><Symantec Corporation>

这难道是假冒的Symantec东西????

我倒是没敢要他删。
豪斯登堡新郎 - 2008-1-23 21:53:00
我从来是宁可错杀不可放过  我倒是想都不想就要删除他
天月来了 - 2008-1-23 21:57:00
引用:
【豪斯登堡新郎的贴子】我从来是宁可错杀不可放过  我倒是想都不想就要删除他
………………

那可是驱动噢

启动项倒没什么,服务项就重要点了,到驱动部分就很重要的了。

不能乱玩噢。
豪斯登堡新郎 - 2008-1-23 22:20:00
不怕不怕狼 - 2008-1-24 3:09:00
看来高手意见不一致!楼主建议您咨询瑞星客服 请他们协助解决问题
lqqk7 - 2008-1-24 9:40:00
呵呵,这是一个仁者见仁的问题,毕竟分析日志完全是通过文件名去判断可疑程度,可能每个人都有自己的想法。
建议lz参考天月的帖子删除文件,新郎官提到的那两个sys建议上报给瑞星分析。
yama0807 - 2008-1-24 12:48:00
天月我用你方法做了,可是在导入xdel的时候,igb那几个文件导进去和源文件名不一样,所以那几个文件还是有的,见下

eg:原文件名c:\windows\system32\igb_djol_1021.dll
c:\windows\system32\igb_wmsj_1008.dll

导入后就变成c:\windows\system32\igb_dj~1.dll
c:\windows\system32\igb_wm~1.dll

然后不就是重启吗,显示的是not found

这是新日志:http://images.rising.com.cn/uploadfiles/20081/24/7442132008124122917.txt
lqqk7 - 2008-1-24 13:09:00
引用:
【yama0807的贴子】天月我用你方法做了,可是在导入xdel的时候,igb那几个文件导进去和源文件名不一样,所以那几个文件还是有的,见下

eg:原文件名c:\windows\system32\igb_djol_1021.dll
c:\windows\system32\igb_wmsj_1008.dll

导入后就变成c:\windows\system32\igb_dj~1.dll
c:\windows\system32\igb_wm~1.dll

然后不就是重启吗,显示的是not found

这是新日志:http://images.rising.com.cn/uploadfiles/20081/24/7442132008124122917.txt

………………

日志没有发现明显异常,导入XDleBox以后文件名改变(其实没变)是正常的,简单的说就是dos下文件名不能超过8位,扩展名不能超过3位,超长的文件名取前6位,后面加~1。

至于瑞星监控,建议你修复瑞星,如果不行就卸载重装。
yama0807 - 2008-1-24 13:25:00
我的电脑里还有一些中病毒那天新出来一些文件日期都是23号,都在C/windows/prefetch,可以删吗,见下图

附件: 7442132008124131834.bmp
yama0807 - 2008-1-24 13:30:00
还有这些,可以删吗


附件: 7442132008124132003.bmp
lqqk7 - 2008-1-24 13:52:00
prefetch目录下.pf后缀的文件是windows预读取的功能的文件,可以删除
天月来了 - 2008-1-24 13:55:00
残余一个启动项,应该对应文件已不在了。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:(同时再用解压工具WinRAR依路径打开找找看看文件还在不在,在就删)
启动项目
注册表
    <{efc11f26-5b84-4aba-bc7e-1a3eb14118a0}><C:\WINDOWS\system32\IGB_WMSJ_1008.dll>  [N/A]
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。

这里下载Windows清理助手,清理你那系统。
http://www.arswp.com/

没异常就行了,至于那些同时间创建的那些不明文件,可以删的,怕不行,就只剪切到别的单独文件夹里,重启看系统无异常,就再彻底删除,弄电脑病毒,也就这点名堂了。
1
查看完整版本: 【求助】瑞星的伞变成红色的(有更新)
© 2000 - 2026 Rising Corp. Ltd.