瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 请帮我看一下SENG日志
逍遥锋儿 - 2008-1-30 20:25:00
现在防火墙开不了,监控被强行关闭打不开了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )


附件: 5397602008130201344.txt
agee - 2008-1-30 20:37:00
删除以下启动项
<Kvsc3><; C:\WINDOWS\Kvsc3.exE>  [N/A]
    <LotusHlp><; C:\WINDOWS\LotusHlp.exe>  [N/A]
    <MsIMMs32><; C:\WINDOWS\MsIMMs32.exE>  [N/A]
    <MsPrint32D><; C:\WINDOWS\MsPrint32D.exe>  [N/A]
    <spoolsv><; C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer>  [N/A]
    <SysExplr><; C:\Program Files\SuperPlayer3500\SysExplr.exe>  []
    <WinSysM><; C:\WINDOWS\338448M.exe>  [N/A]
    <WinSysW><; C:\WINDOWS\338448L.exe>  [N/A]
    <WSockx2_32><; C:\WINDOWS\WSockx2_32.exe>  [N/A]
以下为IFEO劫持,可用autoruns修复
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe]
    <IFEO[kavsvc.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvcUI.exe]
    <IFEO[KAVsvcUI.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE.exe]
    <IFEO[KVFW.EXE.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe]
    <IFEO[KVMonXP.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
    <IFEO[navapsvc.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtimer.exe]
    <IFEO[ravtimer.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rising.exe]
    <IFEO[rising.exe]><C:\WINDOWS\system32\svchost.exe>  [(Verified)Microsoft Windows Publisher]
删除以下驱动
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\fat32.sys><N/A>
并删除以下文件
C:\WINDOWS\system32\drivers\ati32srv.sys
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\npkcrypt.sys
C:\WINDOWS\system32\npkycryp.sys
C:\WINDOWS\system32\fat32.sys
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\MsIMMs32.exE
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\MsPrint32D.exe>  [N/A]
C:\WINDOWS\system32\spoolsv\spoolsv.exe
C:\Program Files\SuperPlayer3500\SysExplr.exe
C:\WINDOWS\338448M.exe
C:\WINDOWS\338448L.exe
C:\WINDOWS\WSockx2_32.exe
C:\WINDOWS\system32\HDDGuard.dll
豪斯登堡新郎 - 2008-1-30 20:41:00
从c:\windows\system32\dllcache\下复制userinit.exe文件替换c:\windows\system32\下原文件(友情提示:c:\windows\system32\dllcache\该文件夹需要在文件夹选项-查看中反选“隐藏系统保护文件和文件夹(推荐)”项并且选中“显示所有文件和文件夹”项方可显示,替换前调用任务管理器结束userinit.exe进程)


1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\hddguard.dll
c:\windows\system32\wzscapi.dll
c:\windows\wsockx2_32.exe
c:\windows\338448l.exe
c:\windows\338448m.exe
c:\windows\msimms32.exe
c:\windows\lotushlp.exe
c:\windows\kvsc3.exe
c:\progra~1\3721\helper.dll
c:\windows\avpsrv.exe
c:\windows\system32\nmgamex.dll
c:\windows\nmgamex.dll
c:\program files\intel\ncs\sync\netsvc.exe
c:\windows\system32\fat32.sys
c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
c:\windows\system32\drivers\pcihdd2.sys
c:\windows\system32\drivers\ati32srv.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略
[WSockx2_32]       
[WinSysW]         
[WinSysM]         
[MsIMMs32]         
[LotusHlp]         
[Kvsc3]           
[helper.dll]       
[AVPSrv]           
[IFEO[kavsvc.exe]] 
[IFEO[KAVsvcUI.exe]]
[IFEO[KVFW.EXE.exe]]
[IFEO[KVMonXP.exe]]
[IFEO[navapsvc.exe]]
[IFEO[ravtimer.exe]]
[IFEO[rising.exe]] 
[NMGameX_AutoRun] 

    启动项目 -- 服务 -- Win32服务应用程序之如下删除:
[Intel NCS NetService / NetSvc]   

    启动项目 -- 服务-- 驱动程序之如下删除:
[PciHardDisk / PciHardDisk]         
[npkycryp / npkycryp]               
[npkcrypt / npkcrypt]               
[DeepFree Update / DeepFree Update] 
[ATI2HDDSRV / ATI2HDDSRV]
1
查看完整版本: 请帮我看一下SENG日志
© 2000 - 2026 Rising Corp. Ltd.