瑞星卡卡安全论坛

标题有点夸张，但够惨的了，简直无计可施

    昨天（7号晚上）上网，一直跳黑白保护名单出来，我把它的框框拖到边上继续上网。后来开过一次金山词霸，该应用程序直接原地消失了。再后来网络连接自己断掉了。但这时其他程序都还能用。
    今天开机，所有随开机加载的程序都被显示“应用程序错误”，“********指令引用的*******内存不能为read”云云；而任何的程序（IE、WINDOWS画图、文本文档、电影播放器……）打开时都不能进一步操作，貌似后台在大量处理什么东西；进程管理器也打不开；msconfig也打不开；瑞星防火墙在系统托盘里的图标不见了，杀软图标还在，但显示所有监控都已关闭，而且程序也打不开。最NB的是电脑放着一分钟不动的话屏幕保护自动开始就变成黑屏，也不出变幻线，而且无论敲键什么都再也没有反应，只能硬关机子，如是再三。我想关屏保程序,但是在桌面上点了右键也会直接卡死(对文件夹点右键没事).
    重新开机用瑞星的开机杀毒，查杀了一个印象中有gamehecker字样的病毒，但问题一切照旧。
    而且开机的时候按F8选安全模式，或带命令提示符的安全模式，都进不去。

    急盼各位高手帮忙，先谢过了。我极不愿格盘重装的说，已经努力一天了，仍然毫无成效。
    我在网上搜到的文章中有一篇有些相近，但给出的解决方法没有用；如前所述，我的电脑既打不开任何程序，也进不了安全模式。该文如下：


关于IE保护黑白名单的问题。
悬赏分：30 - 解决时间：2008-2-5 14:33
我家的电脑出现的IE保护黑白名单。
怎么关也关不掉。即使关了，过一会还出来。我都晕了。
还有我家的瑞星卡卡上网助手突然的没有了，我在点图标他说的是“缺少快捷方式，WINDOWS 正在查找....”。
我该如何“关掉IE保护黑白名单”和“如何恢复瑞星卡卡上网助”啊？
谢谢各位高人了。
我会很感激你们的。。谢谢了。谢谢了。
问题补充：电脑回来QQ医生出来了什么检查木马的东西。然后就是让我选择删除。我点了。然后就是出来了从起或者是稍候从起的。我从起了。可是我在起机的时候就什么都点不开了。甚至连在桌面点右键的属性都没有了。桌面上有图标，但是什么都点不开。双机点开图标的颜色就变淡了。
我希望个位高人能给我些帮助。谢谢谢谢。。。。。
提问者： nanahappyluk - 试用期 一级 最佳答案
关闭瑞星的“IE执行保护”就可以了

经查，这是木马利用了瑞星的ie保护黑白名单功能的漏洞使用用户中招。
此病毒最近十分流行，究其原因就是大家不注意类似通过U盘传播的病毒的防护，拿来U盘（移动存储）设备就双击，导致病毒十分容易的通过U盘传播。
另一个传播方式就是打开网页时弹出ActiveX插件安装的对话框，你点是，基本就中招了。
此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后，在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程
以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称
并在每个磁盘的根目录下生成一个auto.exe和autorun.inf
查杀方法：
一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！
1.首先下载sreng这个软件（官方下载地址:http://www.kztechs.com/sreng/sreng2.zip）
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下
把下面的代码拷入记事本中然后另存为chyx.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击chyx.reg把这个注册表项导入
双击我的电脑--工具--文件夹选项--查看--单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf
%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll
最后需要修复或者重装瑞星杀毒软件，并一定修改你的网络游戏密码。
回答者：gaofei268 - 总监 九级 1-30 16:42
提问者对于答案的评价：谢谢你.您觉得最佳答案好不好？    目前有 0 个人评价
     
50% （0）
50% （0）
相关问题
?  如何删除ie保护黑白名单病毒
?  瑞星ie保护黑白名单病毒
?  我的电脑上总出现IE保护黑白名单对话框怎样处理?
?  为什么我的电脑总是不停地跳出一个“IE保护黑白名单”？
?  IE保护黑白名单如何关闭？

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[font_color=#0]

DING~~~~

至少有哪位支点招吧??

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREng.exe  ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来

如果那SRENG工具不能使用，就折腾下面这个试试：

这里官网下载瑞星听诊器：放桌面，扫出来的东西也自动生成在桌面上，压缩发论坛来。
http://it.rising.com.cn/Channels/Service/2006-07/1153115164d21020.shtml

唉

还500

不顶

楼主不知道偶回贴了。

谢谢天月

我下了听诊器了;在那病毒电脑上运行时,程序窗口区域内鼠标一直是沙漏形象,没法进一步操作,和我的其他应用程序的情况一样.

我现在是用家里另一台旧电脑回帖；病毒电脑不仅网络连接显示断开,而且用不了IE


500是什么意思啊？

SRENG呢？？

SRENG工具也不能运行吗？？？

SRENG更糟,双击之后它那个应用程序就原地消失掉了

现在的情况就是，大多数应用程序双击后都停死在它的启动窗口那儿

我还得不停地动一动鼠标，防止系统停死在自动运行的屏幕保护上，否则只能强制关机然后重新开机……难道我的RP真的差到这个地步了吗

我是1月31号升级的瑞星

引用:

【JUNK的贴子】SRENG更糟,双击之后它那个应用程序就原地消失掉了 现在的情况就是，大多数应用程序双击后都停死在它的启动窗口那儿 我还得不停地动一动鼠标，防止系统停死在自动运行的屏幕保护上，否则只能强制关机然后重新开机……难道我的RP真的差到这个地步了吗 我是1月31号升级的瑞星 ………………

注入系统的病毒太多了

你将那两个工具重新下载，都放在系统盘的Windows文件夹里，改名运行试试。

必须弄来，否则没法知道系统里有什么。

可以试这里的机器狗专杀：

http://forum.ikaka.com/topic.asp?board=28&artid=8424257

还有天月说的那听诊器,我没办法复制到桌面上,因为那样的话鼠标也一直是等待沙漏;我又重新开关了一次电脑才把它COPY到"我的文档"里头来用的

再试试我7楼说的那些

按天月说的试过了

听诊器还是打不开,SRENG还是原地被消失掉,edog也大不开。貌似不是光针对杀查软件，而是所有应用程序都没法执行的

天月给的文章里讲看版本标签；我的EXPLOER有该标签，而另一个userinit没这标签。

无奈了

这样试试：

你只有先用Xdelbox这个工具去删除这些文件了。
下载XDELBOX，地址和使用方法：
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载：http://www.dodudou.com/down/ 里面的原创软件文件夹下载那个1.6版本的，使用时一定拔掉所有移动存储设备。
一定要完全解压到一个文件夹里运行，不然可能有异常。
将下面的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\system32\drivers\msaclue.sys
C:\WINDOWS\system32\drivers\usbKeyInit.sys
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ejcvogxwow.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\HHHCompress.dll
C:\WINDOWS\system32\hnibxqidj.dll
C:\WINDOWS\system32\IIA-IIA-1030.dll
C:\WINDOWS\system32\JAA-JAA-1032.dll
C:\WINDOWS\system32\knjcwnezyzj.dll
C:\WINDOWS\system32\knlExt.dll
C:\WINDOWS\system32\lnaixnauhqq.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lrngbtlzx.dll
C:\WINDOWS\system32\lssass.exe
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\mshxxbb32.dll
C:\WINDOWS\system32\msqjmmm32.dll
C:\WINDOWS\system32\mstfhncn32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后，再看看能否启动SRENG工具扫日志。

这些文件都是机器狗常折腾的一些病毒文件。

因为实在没法看到系统里怎样，只能这样试了。

因为是从Xdelbox右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

所以就算没那些文件，也会执行一次删除得，不会影响你的系统，可以放心操作。

同时可能Xdelbox主界面没文字显示，你只管右键菜单操作，就行。

天月给的软件真NB  它可以运行；但是教程图片上有的“文件路径、添加”……等等字样都是空白的。

我病毒的那台电脑里没办法对记事本进行操作，没法复制到剪贴班里；我能不能选“从文件导入列表”啊？或者手动输入？

没办法对记事本进行操作???

那不管了，你直接就在这个网页里复制那些文件内容，就可以了啊

折腾记事本干嘛？？？

呵呵！！！

没办法对记事本进行操作???

那不管了，你直接就在这个网页里复制那些文件内容，就可以了啊

折腾记事本干嘛？？？

呵呵！！！





我是在家里的另一台旧电脑上上网，中毒的电脑放在旁边；文件什么的都是用U盘从一台拷到另一台的；每拷一会都得格次盘，怕另一台也中毒


不过刚才计事本又能操作了，按天月说的成功导入了
这次重起后竟然可以从屏保里回到WINDOWS的桌面了；但是不幸还是不能扫日志。

我用旧电脑上网拷文件什么的都比较慢，所以回帖总是回等很久，不好意思啊

两个工具都改名启动啊

一定的放到系统Windows文件夹里改名运行。

估计有很多随机名的模块注入在你的系统进程里

因为随机名的，看不到日志，就没法告诉你删除哪些东西。

尤其是那个瑞星听诊器，一定可以反复折腾出日志的，再努力啊

放桌面上运行

可惜早前一阵有一位和你一样的，我记不得哪贴了，将他那里的文件折腾过来照着删，估计能将就。

我试试找找看。

你先弄着。

（嘿嘿，偶键盘不好，也烦呢）

晕 往桌面复制又卡死了,重启中

又得用遍DELBOX吧?

原来病毒搞随即名是为了反删啊

还不行就再增加这部分文件信息试试删除后怎样：

C:\WINDOWS\yxfeowqau.exe
C:\WINDOWS\system32\yxfeowqau.exe
C:\WINDOWS\system32\IGB_WMGJ_1027.dll
C:\WINDOWS\system32\IGB_TLBB_1026.dll
C:\WINDOWS\system32\IGB_DJOL_1024.dll
C:\WINDOWS\system32\IGB_CQSJ_1022.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\ien.dll
C:\WINDOWS\system32\LBSJ.dll
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\WINDOWS\system32\DRIVERS\phy.sys
c:\windows\system32\hz.dll
c:\windows\system32\iqnauhc.dll
c:\windows\system32\uohsom.dll
c:\windows\system32\oadnew.dll
c:\windows\system32\auhad.dll
c:\windows\system32\igb_wmgj_1027.dll
c:\windows\system32\igb_tlbb_1026.dll
c:\windows\system32\igb_djol_1024.dll
c:\windows\system32\igb_cqsj_1022.dll
c:\windows\system32\lbsj.dll
c:\windows\system32\ien.dll
c:\windows\system32\awf.dll
c:\windows\system32\mir.dll
c:\windows\system32\drivers\ntfs.dll

引用:

【JUNK的贴子】晕 往桌面复制又卡死了,重启中 又得用遍DELBOX吧? 原来病毒搞随即名是为了反删啊 ………………

他弄随机名，我就没法借鉴早前处理的一些贴里的文件教你删哪个。

嘿嘿！！！

也滑稽噢

愿意重装系统吗？？？

（你这系统实际已被恶改了不少地方了，很难修复到原样的。）

不过你自己也好奇想看看结果怎样吧？？？

天那
现在中毒机子上的计事本又大不开了,晕死

而且DELBOX也变得不能操作了

天月给的新软件已经下载好了

刚开始没看明白天月的话 现在才反应过来

引用:

【JUNK的贴子】天那 现在中毒机子上的计事本又大不开了,晕死 而且DELBOX也变得不能操作了 ………………

真晕

难道一直在连网？？？？

不连网，难道还不断变？？？？

想运行什么，都要记得改改名。

又一次重启ING……

估计不行就只有重新装了 死得不明不白哎

我中毒的机子现在没插网线啊

新软件也打开不了  我最后再拭试能不能进安全模式吧

我快要屈服拉

引用:

【JUNK的贴子】天月给的新软件已经下载好了 刚开始没看明白天月的话 现在才反应过来 ………………

那你运行这工具了吗？？？

试试噢

？？？？？？

我试了两次开机进安全模式，没成功，于是进正常模式，这回竟染没提示任何“应用程序错误”，程序都能用了，

现在听诊器扫描中

用瑞星听诊器扫过  不过我是在WINDOWS文件家里扫的

然后拿DELBOX杀 重启时我看见命令提示符那里都是FILE NOT FOUND

然后进WINDOWS 一切问题照旧出现了

我把扫描报告发到附件里了



病毒就是在玩我……

附件: 1012672200829224514.txt

我在WINDOWS文件夹目录下看见好几个怪文件，创建日期都是2月7日，文件名都是8位，而且看上去很机，如dpilujcog.exe.hiv什么的，会不会就是病毒啊？