瑞星卡卡安全论坛

我刚才在用电脑,
开了个突然瑞星跟我说什么注册表违规,
那个程序是l开头的，
我并没有开这个程序，
觉得不对劲，
就拒绝了，
开360，
开不起。
再开瑞星，
想杀杀看有什么东西，
刚要按全盘扫描，
瑞星就关了，
接下来，
所有程序都关了，qq
瑞星墙，卡卡也关了，
我平时是杀毒，防火墙，卡卡都开监控的，
现在要开瑞星也开不起了。

我就重起，
一样。
于是我到vista下，[我装的是双系统]
vista没问题，
用360查了下，
有个流氓软件，
叫什么 autorun ，
下了装杀，
重起进入xp，
还是没用。
我就想在线查毒，
可一点那个瑞星或者卡巴的在线查杀，
就变成了‘baidu'
我在vista中用nod32查，
64个木马或者变种，
杀了，
重起，
没用。。。

天呐，
抓狂了。
哪位大虾帮帮我。。。
怎么回事？怎么解决？？

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)


附件: 924270200812902703.jpg

还有一张,
开瑞星时说的.


附件: 924270200812902926.jpg

下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

晕,
是在xp下扫描的吧?!
我试了,
双击SREngPS.exe,
它就消失了,
再解压,
还是.

改名字 把SRENGPS.EXE 改成123.COM 再运行

这里官网下载瑞星听诊器：放桌面，扫出来的东西也自动生成在桌面上，压缩发来。
http://it.rising.com.cn/Channels/Service/2006-07/1153115164d21020.shtml

直接下载在桌面上，改名运行。

不行就将瑞星听诊器和SRENG工具都直接下载到系统Windows文件夹里再改名运行试试。

这样的情况已好几个了，都没尝试将程序放系统Windows文件夹里再改名运行。

来了来了.
经过n次尝试终于可以开那个工具了。

附件: 924270200812991249.txt

来了来了。
在window下改名就好了。

========Content========
删除
C:\windows\system32\hhrdxd.dll
C:\windows\system32\sgrefg.dll
C:\windows\system32\zjydcx.dll
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\windows\system32\N.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cpuz.sys
C:\windows\system32\drivers\pcihdd2.sys
system32\DRIVERS\msaclue.sys
C:\windows\system32\ijougiemnaw.dll
C:\windows\system32\iemnaw.dll
C:\windows\system32\naijoad.dll
C:\windows\system32\niluw.dll
C:\windows\system32\naixuhz.dll
C:\windows\system32\jsqc.dll
C:\windows\system32\utgnehz.dll
C:\windows\system32\nauhgnem.dll
C:\windows\system32\iqnauhc.dll
C:\windows\system32\uohsom.dll
C:\windows\system32\uyom.dll
C:\windows\system32\gnolnait.dll
C:\windows\system32\oadnew.dll
C:\windows\system32\ijiq.dll
C:\windows\system32\hjxr.dll
C:\windows\system32\auhad.dll
C:\windows\system32\cwxzwgnxd.dll
C:\windows\system32\WinForm.dll
C:\windows\system32\HDDGuard.dll
C:\windows\system32\gabdakrbh.dll
C:\windows\system32\uoproyfpv.dll
C:\windows\system32\4.exe
AutoRun.exe
E:\Autorun.inf


修复文件关联
建议用XDELBOX删除，然后在安全模式下全盘杀毒

或格式化C盘，重启，删除AutoRun.exe E:\Autorun.inf，全盘杀毒

是用XDELBOX把上面的文件添加然后删除吗?
XDELBOX在xp和vista下都不能用,
左上角标题栏是框框和乱码...



附件: 9242702008129100152.jpg

XDELBOX在XP怎么不能用？
左标题栏乱码是它故意的

在xp它上面的字根本就显示不出来,[就是那个'添加'还有其他的]
上面的图是在vista截的,按添加没反应.

在有vista系统的电脑中不能使用XDELBOX

改用这里下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

这里官网下载冰刃，找下面文件强制删除：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

这里下载Windows清理助手，清理你那系统。
http://www.arswp.com/

这些工具都要放到系统Windows文件夹里改名运行。

用费尔把那些文件都删了.
清理助手不能用,
改名在windows也不行...
我快被搞疯了.

建议您咨询瑞星客服　请他们协助解决问题 
瑞星客户服务中心：http://csc.rising.com.cn 
瑞星邮件服务中心：http://up.rising.com.cn/webmail/index.htm 
瑞星在线专家门诊：http://help.rising.com.cn/help/RSZX.html 
瑞星在线专家门诊很方便

操作这贴里的那XP系统的日志里病毒：

必须合理操作，不然很烦的。

呃,
你开玩笑吧,
刚才叫我删,
现在说要合理操作...
...

上面我说的的确是病毒文件

在安全模式下删除，XP是可以用XDELBOX的
运行不到，请改名或后缀名

我看有没其他方法,
我的c盘有一键还原备份着呢,
是上星期备份的,
不过我在备份后就装了vista,
在f盘,
这个可没有备份,
听说vista会在c盘创建个文件,
要是我还原了那vista不就完了吗?
而且我还原了那其他盘的病毒也没删掉,
要继续感染怎么办?

你已过去这么长时间了。

再扫个新日志，我给你弄个操作流程，试试。

或者lqqk7版主给你弄个操作流程。

因为中机器狗，系统文件已被替换为病毒文件了。

唉,
扫描不了,
出现了3l的情况，
在windows下改名也不行了。

也滑稽，注入系统进程里的那几个模块还真绝。

直接就删同名文件，三二 可以去别的电脑里下载，改好名，再复制到Windows文件夹里运行。

或者瑞星听诊器能不能放那运行？

来了来了,
日志来了,
刚才我回到xp,
疯狂按360,
终于开起来了.
原来是那个机器狗,
md,
真够狗的,
下了n多木马...


附件: 9242702008129150630.txt

对不起楼主了，我一直在其他论坛玩，现在才认真回你。

处理时，绝不要双击打开任何磁盘。

一定要断网处理，不然不能成功。一定不能不听我的。

你可以进vista系统中，用解压工具WinRAR依路径打开找XP系统盘里的下面所有文件删除。
C:\windows\WinForm.exE
C:\windows\system32\hhrdxd.dll
C:\windows\system32\sgrefg.dll
C:\windows\system32\zjydcx.dll
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\windows\system32\N.dll
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\drivers\ati32srv.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cpuz.sys
C:\windows\system32\drivers\pcihdd2.sys
C:\windows\system32\DRIVERS\msaclue.sys
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\windows\system32\ijougiemnaw.dll
C:\windows\system32\iemnaw.dll
C:\windows\system32\naijoad.dll
C:\windows\system32\niluw.dll
C:\windows\system32\naixuhz.dll
C:\windows\system32\jsqc.dll
C:\windows\system32\utgnehz.dll
C:\windows\system32\nauhgnem.dll
C:\windows\system32\iqnauhc.dll
C:\windows\system32\uohsom.dll
C:\windows\system32\uyom.dll
C:\windows\system32\gnolnait.dll
C:\windows\system32\oadnew.dll
C:\windows\system32\ijiq.dll
C:\windows\system32\hjxr.dll
C:\windows\system32\auhad.dll
C:\windows\system32\hhrdxd.dll
C:\windows\system32\sgrefg.dll
C:\windows\system32\N.dll
C:\windows\system32\H.dll
C:\windows\system32\cwxzwgnxd.dll
C:\windows\system32\zjydcx.dll
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\windows\system32\HDDGuard.dll
C:\windows\system32\WinForm.dll
C:\windows\system32\uoproyfpv.dll
C:\windows\system32\gabdakrbh.dll
C:\windows\system32\4.exe
c:\windows\hah\hah.exe
E:\Autorun.inf
E:\AutoRun.exe
————————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe文件，复制到C:\WINDOWS\system32文件夹里替换。
去C:\WINDOWS\system32\dllcache文件夹里找logonui.exe文件，复制到C:\WINDOWS\system32文件夹里替换。

以上这些一定要在vista系统中做完，做正确。否则又可能无用。
————————————————————————————————————————————
重启电脑，进XP系统，千万不要再进vista系统。

还是不能随意打开任何磁盘，不能随意使用其他盘文件。

用解压工具WinRAR打开各盘，看根目录下是否有Autorun.inf和AutoRun.exe都删除。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <WinForm><C:\windows\WinForm.exE>  []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\windows\system32\hhrdxd.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\windows\system32\sgrefg.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\windows\system32\zjydcx.dll>  []
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys>  []
    <{962E962E-B730-62EB-740C-1D961D961D96}><C:\windows\system32\N.dll>  []
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[PnkBstrA / PnkBstrA][Running/Auto Start]
  <C:\windows\system32\PnkBstrA.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
  <\??\C:\windows\system32\drivers\ati32srv.sys><N/A>
[cpuz126 / cpuz126][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cpuz.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
  <\??\C:\windows\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

这里下载Windows清理助手，清理你那系统。
http://www.arswp.com/

在你处理完以后，千万别再进vista系统。

直接按照这个所有文件内容，还用解压工具WinRAR依类似的系统目录路径打开vista系统盘，找相同文件，如果有就删除。

还有vista系统的文件不知道会不会也被恶意替换。

删完vista系统里类似的病毒文件后，再进vista系统扫个vista系统的日志来看看。

愿意的话，处理完以后，也先扫个XP系统的SRENG日志看看效果。

双系统处理病毒文件，还是很好删的。

在另一系统中删XP系统里的病毒，直接删，不用那些工具的。

汗了，
不是一般的复杂。

切记不可以将两个系统德文件弄错。

尤其是那userinit.exe和logonui.exe文件，替换时不能搞错系统盘。

瑞星就是不肯把机器狗病毒加入病毒库，我已经上报了好多次了，每次工程师都答复是病毒。

晕,
我基本照做了,
但是替换文件那一步,
我找不到C:\WINDOWS\system32\dllcache的userinit.exe文件和logonui.exe文件,
重起,
瑞星我重装,
装到一半说被用户中止,
我没有按啊...
试了好几次,
还是一样.
360也开不了,
左上角乱码依旧.

汗了.

唉
又白做了。

你是找不到C:\WINDOWS\system32\dllcache文件夹？？？？

还是找到C:\WINDOWS\system32\dllcache文件夹打开，找不到那两个文件？