瑞星卡卡安全论坛

不要连网，然后就看你最关键的一步了，就是这删除文件，能删除下面提到的所有文件，就解决问题了：
你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载：http://www.dodudou.com/down/里面的“原创软件文件夹”下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）运行xdelbox前请拔掉插在电脑上的所有移动硬盘、U盘、MP3等。
将下面的文件信息全部复制，然后打开Xdelbox,勾选“抑制文件再生”，直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\System32\Explorer.sm1
C:\WINDOWS\WinForm.exE
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\dpilujcog.exe
C:\WINDOWS\system32\dpilujcog.exe
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\KAB-KAB-1031.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\IGB_CQSJ_1024.dll
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\ffjhalmxc.ssw
C:\WINDOWS\system32\KUQBMX.dll
C:\WINDOWS\system32\AVGRCN.dll
C:\WINDOWS\system32\drivers\ati32srv.sys
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\drivers\msyecp.sys
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\WINDOWS\System32\DRIVERS\puid.sys
C:\WINDOWS\system32\HDDGuard.dll

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式
进入系统后，再做下面的：
————————————————————————————————————————
从下面项，可看出系统文件userinit.exe已被病毒替换，可以去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe文件，复制到C:\WINDOWS\system32文件夹里替换。或者在附件里下载，那是我这XP系统里的userinit.exe文件。

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []

替换前先结束Userinit.exe进程。

[PID: 1536 / asus][C:\WINDOWS\system32\userinit.exe]  [N/A, ]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <AudioMan><C:\WINDOWS\System32\Explorer.sm1>  [N/A]
    <WinForm><C:\WINDOWS\WinForm.exE>  [N/A]
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  [N/A]
    <SHAProc><C:\WINDOWS\SHAProc.exe>  [N/A]
    <dpilujcog><dpilujcog.exe>  [N/A]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  [N/A]
    <{1dd79acb-7617-4c72-ac5f-fdd8f278975e}><C:\WINDOWS\system32\KAB-KAB-1031.dll>  [N/A]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  [N/A]
    <{a572576d-320f-46a8-9d3c-98d96b319d64}><C:\WINDOWS\system32\IGB_CQSJ_1024.dll>  [N/A]
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys>  []
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll>  [N/A]
    <kkomfqrch><C:\WINDOWS\system32\ffjhalmxc.ssw>  [N/A]
    <{A08F6D4C-B2A1-6D5C-7E6D-1807D4B3A18F}><C:\WINDOWS\system32\KUQBMX.dll>  []
    <{E5C3A190-F7E5-A290-B3A1-5D4B1807E5C3}><C:\WINDOWS\system32\AVGRCN.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>

[DeepFree Update / DeepFree Update][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>

[msertk / msertk][Running/Auto Start]
  <system32\drivers\msyecp.sys><N/A>

[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>

[puid / puid][Stopped/Manual Start]
  <System32\DRIVERS\puid.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

————————————————————————————————————
在扫日志的SRENG工具》系统修复》高级修复》Windows Shell/IE全选，修复

————————————————————————————————————
下面这个服务不认识，愿意的话这样做：

在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项，将启动类型改为“Disabled”
==================================
服务
[ASWLSVC / ASWLSVC][Running/Auto Start]
  <C:\WINDOWS\system32\ASWLSVC.exe><N/A>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

这里下载Windows清理助手，清理你那系统。
http://www.arswp.com/

如果还有异常，建议断网后，再扫SRENG日志发来。

如果愿意的话，建议杀毒软件卸载重装。



附件：


附件: 8390772008210102257.rar

假如有随机文件的病毒，不是有这些文件的提取工具吗？

引用:

【有毒必问的贴子】假如有随机文件的病毒，不是有这些文件的提取工具吗？ ………………

?

详细说说工具在哪，怎么弄哦

引用:

【天月来了的贴子】 ? 详细说说工具在哪，怎么弄哦 ………………

我给你传附件

附件: 7214942008210125641.rar

引用:

【简简单单23的贴子】 我给你传附件 ………………

在一台你什么都不知道的系统里，怎么折腾这工具，可以轻松看到系统内注入进程里的那些模块文件？？？？这很重要，只有知道那些文件名和路径，才能设法删除。

说实话,

这工具我从来没用过.

觉得没多大用处,

既然已经找到异常文件,

直接干掉就好,

感觉这工具没多大用处.

引用:

【简简单单23的贴子】说实话, 这工具我从来没用过. 觉得没多大用处, 既然已经找到异常文件, 直接干掉就好, 感觉这工具没多大用处. ………………

嘿

我要的是怎么才能轻松的让用户提供注入进程里的那么多病毒模块的文件信息。这很重要。

例如这贴的楼主，到底怎么让他快速提供有价值的注入进程里的那么多病毒模块的文件信息，才是最最要紧的。

否则，我又怎么知道删什么文件呢？是吧？？？

已经按天月说的做了

那个
==================================
服务
[ASWLSVC / ASWLSVC][Running/Auto Start]
<C:\WINDOWS\system32\ASWLSVC.exe><N/A>
————————————————————————————————————
好象是华硕笔记本的无线网络有关程序 不过我也把它DISABLE了

要升杀软的话看来一定得连网咯



还有就是,执行了所有操作以后，我的中毒电脑的SYSTEM32文件夹下面,还会有几个新的、很可能是病毒的文件生成。我把它们都改了名字。要是以后还有生成怎么办呢？

连网

先弄Windows清理助手，清理你那系统。
http://www.arswp.com/

升级杀毒软件

然后再扫SRENG日志看看

系统内核被改了，格盘把

引用:

【jmbt的贴子】系统内核被改了，格盘把 ………………

就是很不想格嘛

为什么说系统内河被改了呢？不可仪恢复吗？

引用:

【JUNK的贴子】 就是很不想格嘛 为什么说系统内河被改了呢？不可仪恢复吗？ ………………

你这半天干什么呢？？？？

弄没弄我前面说的啊？？？？？

报告天月

全都弄了 但是现在怎么也卸载不掉原来的瑞星 也没法升级

那个清理助手工作好慢啊，我都快睡着了……

我用以前的瑞星（1月31号）杀出来两百多个毒 自己手动删了一些疑似的  结果再次开机的时候，可能因为删得东西太多，系统非常不稳定 我晕 

我试着做SRENG扫描，已经搞得两次卡死强制关电原了

既然删了一些疑似的

可能系统破坏严重了。

放弃吧。

至少已经知道怎么回事了。

嘿嘿  有没有一款软件  把系统盘除了微软的文件外
其他全删的呢？

这样就不用烦了

引用:

【wjzdw的贴子】嘿嘿  有没有一款软件  把系统盘除了微软的文件外 其他全删的呢？ 这样就不用烦了 ………………

那很多软件，包括现在的较多的激光打印机的驱动等等，不都删没了吗？？？？？

不能这么玩。

主要还是一开始自己不要随意操作删除等等

我用MSCONFIG的诊断启动进WINDOWS，终于扫到一份SRENG的扫描报告。但是现在给那台机子插U盘又没反应了

不管怎样都只有重装啦 无语中

我删掉那几个疑似的文件，都是在今天生成的，而且是在用过DELBOX删除重启之后，长得也和昨天删掉那些病毒差不多 是因为这样搞垮的吗？

呵呵！！！

要不你再弄个日志看看？？？？

貌似重装最好了。。现在要修复的话就很困难的了。。。
天月说的那个不认识的文件。。。我记得是笔记本电脑一个管电源的吧。。。（我昨晚看了下日记。。那个我搜出了刚刚我说的那个答案。）、。。。

主要还是他的系统折腾的不成人样了。

反正已知道怎么回事了，就那些病毒。

和前一阵的一样什么都不能运行的求助者一样的机器狗。

现在那些程序都能用了 而且系统没再出现卡死

就是WINDOWS的桌面主题没有了 音量调节和输入法、U盘没反应，可能U盘的驱动被杀了（设备管理器里一片空白）本地网络联接也全都没有，提示说不能检索网络适配器；可能是有关网络连接的服务被搞坏了。太复杂。我扫好的报告也拷不出来。杀毒杀个鱼死网破。

现在的那系统确实不成人样 看来想要一点点重新恢复都很困难了。  系统设置什么的东西我又不是很懂。就等过两天重装啦

还要感谢天月费心了；好人啊。虽然我的电脑无可救药。但是这两天学到好多东西

还有就是，我中毒的地方最怀疑的是糖果音乐网站（WWW。CANDYMUSIC。ORG），因为那天（7号）我一直在那里下音乐的。他们有置顶帖说服务器被黑过，AVP木马（或者是另外什么名字，记不青了）。我不敢再去看，怕现在这台能用的旧电脑也中毒。

天月说的机器狗是什么时候冒出来的，怎么这么牛B啊？防火墙都毫无反应地被作掉了……

防火墙提示系统程序要访问网络时，可能你同意了。因为是系统文件，所以你不在意。

还有木马一旦开始下载工作，会首先停止防火墙的。包括杀毒软件。

所以

以后看到这贴的任何求助者，都必须记住，在未经指点的情况下，千万不要自己随意删除不明文件，因为可能有些文件实际是系统工作必须的文件。

引用:

【天月来了的贴子】防火墙提示系统程序要访问网络时，可能你同意了。因为是系统文件，所以你不在意。 还有木马一旦开始下载工作，会首先停止防火墙的。包括杀毒软件。 ………………

没有过提示
只是中毒那天晚上瑞星的 黑白保护名单不停地跳出来，但是又什么内容都没有，我就不停地点确定，后来网络就自己断了

引用:

【天月来了的贴子】所以 以后看到这贴的任何求助者，都必须记住，在未经指点的情况下，千万不要自己随意删除不明文件，因为可能有些文件实际是系统工作必须的文件。 ………………

对。以前我都对系统文件很小心的

但是这两天杀毒杀得眼红了，看见有点像的都觉得手痒痒


但是那些驱动程序动不在了（网卡、U盘？），还有声音，这些应该是病毒感染以后被DELBOX和后来的瑞星杀掉的吧

行了
终于告一段落了。

死得也瞑目了

引用:

【JUNK的贴子】 对。以前我都对系统文件很小心的 但是这两天杀毒杀得眼红了，看见有点像的都觉得手痒痒 但是那些驱动程序动不在了（网卡、U盘？），还有声音，这些应该是病毒感染以后被DELBOX和后来的瑞星杀掉的吧 ………………

我要你用Xdelbox删除的文件，全部是病毒文件。没有任何会影响系统的文件，都是网络上下载的病毒文件。

至于瑞星应该不会删除过多的东西的，因为机器狗还是厚道的，并不感染其他文件（除了替换系统文件外）

还是你自己删的狠了

惊世骇俗的中毒症状!惊世骇俗的贴聊啊!~~~~