瑞星卡卡安全论坛

着急死了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 1010804200821110427.txt

病毒文件名和路径

病毒路径C:\WINDOWS\system32\drivers\usbinite.sys

用360自代的文件删除工具,很好用,什么东西都能删

【回复“小狮子1号”的帖子】
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Wisin><C:\WINDOWS\system32\Wisin.exe>  [Microsoft Corporation]————病毒加载项。删除。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  []——————资源管理器被病毒替换过。删除后，系统会自动从dllcache文件夹拷回正常的explorer.exe到windows目录下。


[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>————病毒驱动，用IceSword删除。
[DH / DH][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1F.tmp><N/A>————病毒驱动，用IceSword删除。
[PPP / PPP][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\PPP.sys><N/A>————正常系统无此驱动。

处理完上述注册表内容后，用IceSword强制删除相应的文件。

一定要断网处理，不然不能成功：

你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载：http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制，然后打开Xdelbox,勾选“抑制文件再生”，直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\system32\iemnaw.dll
C:\WINDOWS\system32\oadnew.dll
C:\WINDOWS\system32\Wisin.exe
C:\WINDOWS\system32\zjydcx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1F.tmp
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\WINDOWS\system32\DRIVERS\PPP.sys
C:\WINDOWS\system32\drivers\usbinite.sys

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式
进入系统后，再做下面的：
————————————————————————————————————————
从下面项，可看出系统文件Explorer.exe已被病毒替换，可以去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  []

替换前先结束Explorer.exe进程。
==================================
正在运行的进程
[PID: 1376 / Administrator][C:\WINDOWS\Explorer.EXE]  [N/A, ]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <Wisin><C:\WINDOWS\system32\Wisin.exe>  [Microsoft Corporation]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[DH / DH][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1F.tmp><N/A>

[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>

[PPP / PPP][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\PPP.sys><N/A>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

这里下载Windows清理助手，清理你那系统。
http://www.arswp.com/

那系统文件Explorer.exe可以去这里附件下载：
http://forum.ikaka.com/topic.asp?board=28&artid=8417665

什么是IceSword 从哪里找到注册表啊 用sreng?

按照我这个处理容易点。

天月快来 按你的方法 任务拦被我改回来了(染毒是白色)但是 我的电脑图表还是没变回来 我正在用杀毒瑞星杀毒 (刚才可把我吓坏了 想了想 我的大学生活并不能交给网络游戏 我是学计算机的 还是认真学习技术的好

天月快来 按你的方法 任务拦被我改回来了(染毒是白色)但是 我的电脑图表还是没变回来 我正在用杀毒瑞星杀毒 (刚才可把我吓坏了 想了想 我的大学生活并不能交给网络游戏 我是学计算机的 还是认真学习技术的好

在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
[msskye / msskye][Running/Auto Start]
<system32\DRIVERS\msaclue.sys><N/A>
我没找到这个东西 这个东西和我的电脑图表显示有关系不

去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。


这步做好了没？  还有 麻烦楼主再扫描一次，检查还有没有再次生成C:\WINDOWS\system32\drivers\usbinite.sys

版主在么?我中的跟你一样的病毒,寻求到了解决的办法,可是我对电脑一窍不通,所以我想问一下  怎样运行扫日志的SRENG工具 ?麻烦你看在都是中同一个毒的情况下,教我一下吧.我都快让这个毒整疯了!

"复制到C:\WINDOWS\文件夹里替换"  这意思是直接复制到C:\WINDOWS\下 还是C:\WINDOWS\ 文件夹下的某个文件里

晕死了

难道你没替换完那文件，就直接连网啦？？？？？

如果没用防火墙阻止Explorer.exe进程访问网络。

那些病毒可能还会再进来的。

白弄了。

"复制到C:\WINDOWS\文件夹里替换" 这意思是直接复制到C:\WINDOWS\文件夹里

不要再放到别的地方。

就是C:\Windows\

唉..........................

但是如何结束进程 我结束不了啊

打开任务管理器结束进程。

如果再问：“怎么打开任务管理器？”

偶就不理你了

这样子做屏幕就没了 什么图表都没了

在任务管理器的右上角的“文件”菜单里找“新建任务”什么的

还不明白吗？？？？？？？？？

唉..................

天月大哥 现在电脑是这样的 刚才我又杀了次毒 发现没有病毒 但是我的电脑图表还是没有变回来现在不知道怎么办 我又扫描了次电脑 现在发上来 您帮我看看还什么问题 能语音帮我么 我可以上UT

附件: 1010804200821155131.txt

大家都帮我看看吧

日志看不出什么了。

我只能帮你这些了。

你去桌面空白处，右键“属性”里找关于桌面图标默认设置的那个看看去。

我这2000的系统没法抓图给你看。

右键点桌面-属性-桌面-自定义桌面，然后看图。
选我的电脑，点还原默认图标试试

附件: 670158200821161143.jpg

【回复“天月来了”的帖子】从下面项，可看出系统文件Explorer.exe已被病毒替换，可以去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> []

替换前先结束Explorer.exe进程。
````````````````[msskye / msskye][Running/Auto Start]
<system32\DRIVERS\msaclue.sys><N/A>

这2步就没弄明白 和 电脑图表有关系不

【回复“lqqk7”的帖子】通过这样的方式改回来了 不知道还会有病毒么 我杀了毒 现实的没

按照之前的方法都操作好了，explorer.exe也替换回来了，应该就没问题了

引用:

【小狮子1号的贴子】【回复“天月来了”的帖子】从下面项，可看出系统文件Explorer.exe已被病毒替换，可以去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [] 替换前先结束Explorer.exe进程。 ````````````````[msskye / msskye][Running/Auto Start] <system32\DRIVERS\msaclue.sys><N/A> 这2步就没弄明白 和 电脑图表有关系不 ………………

唉

你要是MM多好！！

嘿嘿！！！

因为你那桌面Explorer.exe被病毒替换，所以再加载桌面进程后，很多注册表里的东西就乱套了。

现在虽然恢复桌面文件，但是注册表里还没恢复啊。

按照你楼上弄弄吧。

引用:

【还是天月的贴子】 引用: 【小狮子1号的贴子】【回复“天月来了”的帖子】从下面项，可看出系统文件Explorer.exe已被病毒替换，可以去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件，复制到C:\WINDOWS\文件夹里替换。 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [] 替换前先结束Explorer.exe进程。 ````````````````[msskye / msskye][Running/Auto Start] <system32\DRIVERS\msaclue.sys><N/A> 这2步就没弄明白 和 电脑图表有关系不 ……………… 唉 你要是MM多好！！ 嘿嘿！！！ 因为你那桌面Explorer.exe被病毒替换，所以再加载桌面进程后，很多注册表里的东西就乱套了。 现在虽然恢复桌面文件，但是注册表里还没恢复啊。 按照你楼上弄弄吧。 ………………

这跟人家是不是mm有什么关系？？

【回复“lqqk7”的帖子】我也不知道我替换回来没有explore.exe 但是我看见任务进程里有个这(怎么替换) 不知道是不是 新的瑞星是查不出毒了