1.求助.我的电脑不知道中了什么病毒!附日志 bbs.ikaka.com

sssp - 2008-2-11 19:38:00

在扫日志的SRENG工具--启动项目--注册表--里面找下面项目删除

<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WinForm><C:\WINDOWS\WinForm.exE> []
<SSLDyn><C:\WINDOWS\SSLDyn.exE> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<mppds><C:\WINDOWS\mppds.exe> []
<MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
<NAVMon32><C:\WINDOWS\NAVMon32.exE> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysM><C:\WINDOWS\919331M.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<WinSysW><C:\WINDOWS\919331L.exe> [N/A]
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<wiasoisao><wiasoisao.exe> []

在扫日志的SRENG工具--启动项目--服务--win32服务应用程序--里面找下面项删除

[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>

扫日志的SRENG工具--启动项目--服务--驱动程序删除
[ATI2HDDSRV / ATI2HDDSRV][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msertk / msertk][Running/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\DRIVERS\msaclue.sys><N/A>
[ZHTU / ZHTU][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF1.tmp><N/A>
扫日志的SRENG工具--系统修复--浏览器加载项删除
[快捷工具条3.2]
{BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, >
[SrchHook Class]
{F08555B0-9CC3-11D2-AA8E-000000000000} <C:\WINDOWS\system32\iebho.dll, >

下载XDELBOX，地址和使用方法：
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载：http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的，使用时一定拔掉所有移动存储设备。
将下面的文件全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”
(重启计算机以后会有两个系统进入的选择的倒计时界面,第一个是你原来的windows系统,第二个是这个软件给你设定的dos系统,系统会自动选择进入第二个系统,类似dos的界面滚动完毕以后 ,病毒就被删除了,之后会自动重启进入正常模式)
C:\WINDOWS\system32\792405C6.EXE
C:\WINDOWS\system32\drivers\ati32srv.sys
C:\WINDOWS\system32\1707E7B.DLL
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\system32\drivers\msyecp.sys
C:\system32\DRIVERS\msaclue.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF1.tmp
C:\WINDOWS\system32\ijougiemnaw.dll
C:\WINDOWS\system32\vhqq.dll
C:\WINDOWS\system32\atgnehz.dll
C:\WINDOWS\system32\tsqc.dll
C:\WINDOWS\system32\kiluw.dll
C:\WINDOWS\system32\sve.dll
C:\WINDOWS\system32\gnolnait.dll]
C:\WINDOWS\system32\knaixnauhuoyizqq.dll]
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\xhtd.dll
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\oadnew.dll
C:\WINDOWS\system32\iemnaw.dll
C:\WINDOWS\system32\hjxr.dll
C:\WINDOWS\system32\naixuhz.dll
C:\WINDOWS\system32\nahzij.dll
C:\WINDOWS\system32\utgnehz.dll
C:\WINDOWS\system32\auhad.dll
C:\WINDOWS\system32\naijihzeuyouhz.dll
C:\WINDOWS\kiefncol.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\NAVMon32.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\SSLDyn.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\frhhusyk.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\919331MM.DLL

用解压缩工具WinRAR打开C,D,E,F盘，删除根目录下的Autorun.inf文件，重启电脑

sssp - 2008-2-11 19:40:00

做完以后再扫一遍日志上来可能有漏掉的

豪斯登堡新郎 - 2008-2-11 19:46:00

1.用XDelBox以抑制再生方式删除以下文件：(http://www.dodudou.com/down/index.php)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\wiasoisao.exe
c:\windows\system32\1707e7b.dll
c:\windows\system32\3auhad.dll
c:\windows\system32\atgnehz.dll
c:\windows\system32\auhad.dll
c:\windows\system32\duygnef.dll
c:\windows\system32\gnolnait.dll
c:\windows\system32\hjxr.dll
c:\windows\system32\iemnaw.dll
c:\windows\system32\ijougiemnaw.dll
c:\windows\system32\kiluw.dll
c:\windows\system32\knaixnauhuoyizqq.dll
c:\windows\system32\nahzij.dll
c:\windows\system32\naijihzeuyouhz.dll
c:\windows\system32\naixuhz.dll
c:\windows\system32\oadnew.dll
c:\windows\system32\sve.dll
c:\windows\system32\tsqc.dll
c:\windows\system32\utgnehz.dll
c:\windows\system32\vhqq.dll
c:\windows\system32\xhtd.dll
c:\windows\frhhusyk.dll
c:\windows\kiefncol.dll
c:\windows\system32\avpsrv.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\mppds.dll
c:\windows\system32\msccrt.dll
c:\windows\system32\msimms32.dll
c:\windows\system32\msprint32d.dll
c:\windows\system32\navmon32.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\shaproc.dll
c:\windows\system32\ssldyn.dll
c:\windows\system32\winform.dll
c:\windows\919331mm.dll
c:\windows\919331wl.dll
c:\windows\system32\kvsc3.dll
c:\windows\ptsshell.exe
c:\windows\919331l.exe
c:\windows\msimms32.exe
c:\windows\msccrt.exe
c:\windows\919331m.exe
c:\windows\lotushlp.exe
c:\windows\navmon32.exe
c:\windows\msprint32d.exe
c:\windows\mppds.exe
c:\windows\avpsrv.exe
c:\windows\kvsc3.exe
c:\windows\ssldyn.exe
c:\windows\winform.exe
c:\windows\shaproc.exe
c:\windows\system32\792405c6.exe
c:\docume~1\admini~1\locals~1\temp\tmpf1.tmp
c:\windows\system32\drivers\msaclue.sys
c:\windows\system32\drivers\msyecp.sys
c:\windows\system32\drivers\pcihdd2.sys
c:\windows\system32\drivers\ati32srv.sys
c:\windows\system32\iebho.dll
c:\windows\system32\ietool.dll
c:\auto.exe
d:\auto.exe
e:\auto.exe
f:\auto.exe
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[wiasoisao]
[PTSShell]
[WinSysW]
[MsIMMs32]
[msccrt]
[WinSysM]
[LotusHlp]
[NAVMon32]
[MsPrint32D]
[mppds]
[AVPSrv]
[Kvsc3]
[SSLDyn]
[WinForm]
[SHAProc]

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[286EE121 / 286EE121]

启动项目－－服务－－驱动程序之如下项删除：
[ZHTU / ZHTU]
[msskye / msskye]
[msertk / msertk]
[DeepFree Update / DeepFree Update]
[ATI2HDDSRV / ATI2HDDSRV]

系统修复－－　浏览器加载项之如下项删除：
[SrchHook Class] <C:\WINDOWS\system32\iebho.dll>
[快捷工具条3.2] <C:\WINDOWS\system32\IETool.dll>
[快捷工具条3.2] <C:\WINDOWS\system32\IETool.dll>
[SrchHook Class] <C:\WINDOWS\system32\iebho.dll>

做完后别忘了更新杀毒软件至最新，进行全盘杀毒

楼上好快的速度……

sssp - 2008-2-11 20:02:00

引用:

【豪斯登堡新郎的贴子】

楼上好快的速度……
………………

那是因为我来的比你早

微笑abc - 2008-2-11 20:43:00

我先按3楼的方法操作了。现在我在扫一次发贴~
QQ196685887

微笑abc - 2008-2-11 20:55:00

高手。加我的QQ好吗？我把扫描好的发给你好吗？我不会发。刚才都是我朋友发的。现在他忙去了`我的QQ196685887

天月来了 - 2008-2-11 20:58:00

日志内容复制到另一个新建的空记事本里保存，再以附件形式发论坛来。
一定要以附件形式发论坛来
可以点我这贴的右下角的“引用”就知道怎么以附件新式发来了

微笑abc - 2008-2-11 21:33:00

[CODE]
2008-02-11,18:16:07
System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<switch><c:\windows\system32\壁纸自动换.exe> []
<SoundMan><SOUNDMAN.EXE> [(Verified)Microsoft Windows Publisher]
<VTTimer><VTTimer.exe> [S3 Graphics, Inc.]
<VTTrayp><VTtrayp.exe> [S3 Graphics Co., Ltd.]
<TPPOLL><C:\Program Files\Topro\tppoll.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WinForm><C:\WINDOWS\WinForm.exE> []
<SSLDyn><C:\WINDOWS\SSLDyn.exE> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<mppds><C:\WINDOWS\mppds.exe> []
<MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
<NAVMon32><C:\WINDOWS\NAVMon32.exE> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysM><C:\WINDOWS\919331M.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<WinSysW><C:\WINDOWS\919331L.exe> [N/A]
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [(Verified)Beijing Rising Science and Technology Corporation Limited]
<RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup> [(Verified)Beijing Rising Science and Technology Corporation Limited]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<wiasoisao><wiasoisao.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [(Verified)Beijing Rising Science and Technology Corporation Limited]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]

==================================
启动文件夹
[QQ游戏启动加速程序]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk --> C:\PROGRA~1\Tencent\QQGAME\Accel.exe [深圳市腾讯计算机系统有限公司]><N>

==================================
服务
[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Rising Process Communication Center / RsCCenter][Stopped/Auto Start]
<"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
<"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

侠者秋水 - 2008-2-11 21:35:00

有照5楼的操作做么？

微笑abc - 2008-2-11 21:52:00

做了！我现在把瑞星御载再重新可装可不？

侠者秋水 - 2008-2-11 22:03:00

也是个办法~！！

先修复一下吧

微笑abc - 2008-2-11 22:09:00

现在伞还是红色的！在杀毒。病毒数234。杀毒百分50%
怎么一下子那么多了。几个小时前我杀过才几个的！为什么？

侠者秋水 - 2008-2-11 22:10:00

再扫一个日志上来

微笑abc - 2008-2-11 22:13:00

用解压缩工具WinRAR打开C,D,E,F盘，删除根目录下的Autorun.inf文件，重启电脑
？？？？？？？？？？？？？？？？？？？？？？？什么意思？

天月来了 - 2008-2-11 22:14:00

没能正确操作而已

未能真正清除光病毒

侠者秋水 - 2008-2-11 22:16:00

看样子是
加QQ24064682 我帮你远程弄了看看
今天闲

豪斯登堡新郎 - 2008-2-11 22:16:00

引用:

【微笑abc的贴子】[CODE]
2008-02-11,18:16:07
System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<switch><c:\windows\system32\壁纸自动换.exe> []
<SoundMan><SOUNDMAN.EXE> [(Verified)Microsoft Windows Publisher]
<VTTimer><VTTimer.exe> [S3 Graphics, Inc.]
<VTTrayp><VTtrayp.exe> [S3 Graphics Co., Ltd.]
<TPPOLL><C:\Program Files\Topro\tppoll.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WinForm><C:\WINDOWS\WinForm.exE> []
<SSLDyn><C:\WINDOWS\SSLDyn.exE> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<mppds><C:\WINDOWS\mppds.exe> []
<MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
<NAVMon32><C:\WINDOWS\NAVMon32.exE> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysM><C:\WINDOWS\919331M.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<WinSysW><C:\WINDOWS\919331L.exe> [N/A]
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [(Verified)Beijing Rising Science and Technology Corporation Limited]
<RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup> [(Verified)Beijing Rising Science and Technology Corporation Limited]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<wiasoisao><wiasoisao.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [(Verified)Beijing Rising Science and Technology Corporation Limited]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceDelayLoad]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]

==================================
启动文件夹
[QQ游戏启动加速程序]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk --> C:\PROGRA~1\Tencent\QQGAME\Accel.exe [深圳市腾讯计算机系统有限公司]><N>

==================================
服务
[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Rising Process Communication Center / RsCCenter][Stopped/Auto Start]
<"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
<"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
………………

不知道你是怎么操作的没有处理任何东西你没感觉这个日志和之前的日志一样的吗?? 按照上面的方法断网再做一次做完后进行全盘杀毒然后再扫描份日志传上来

微笑abc - 2008-2-11 22:20:00

引用:

【微笑abc的贴子】用解压缩工具WinRAR打开C,D,E,F盘，删除根目录下的Autorun.inf文件，重启电脑
？？？？？？？？？？？？？？？？？？？？？？？什么意思？
………………

附件: 10133062008211220826.txt

天月来了 - 2008-2-11 22:20:00

引用:

【豪斯登堡新郎的贴子

不知道你是怎么操作的没有处理任何东西你没感觉这个日志和之前的日志一样的吗?? 按照上面的方法断网再做一次做完后进行全盘杀毒然后再扫描份日志传上来
………………

你没看日志上的时间啊

他刚发的还是原来的那个日志而已

微笑abc - 2008-2-11 22:20:00

刚扫的！

天月来了 - 2008-2-11 22:22:00

引用:

【侠者秋水的贴子】看样子是
加QQ24064682 我帮你远程弄了看看
今天闲
………………

也只能这样了

否则得累出问题

豪斯登堡新郎 - 2008-2-11 22:24:00

引用:

【天月来了的贴子】
你没看日志上的时间啊

他刚发的还是原来的那个日志而已
………………

我还真没看时间了……呵呵

天月来了 - 2008-2-11 22:24:00

引用:

【微笑abc的贴子】刚扫的！
………………

你发的还是2008-02-11,18:16:07
那时扫的那个日志

要现在最新的日志啊

现在就开启SRENG工具扫

侠者秋水 - 2008-2-11 22:29:00

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\wiasoisao.exe
c:\windows\system32\1707e7b.dll
c:\windows\system32\3auhad.dll
c:\windows\system32\atgnehz.dll
c:\windows\system32\auhad.dll
c:\windows\system32\duygnef.dll
c:\windows\system32\gnolnait.dll
c:\windows\system32\hjxr.dll
c:\windows\system32\iemnaw.dll
c:\windows\system32\ijougiemnaw.dll
c:\windows\system32\kiluw.dll
c:\windows\system32\knaixnauhuoyizqq.dll
c:\windows\system32\nahzij.dll
c:\windows\system32\naijihzeuyouhz.dll
c:\windows\system32\naixuhz.dll
c:\windows\system32\oadnew.dll
c:\windows\system32\sve.dll
c:\windows\system32\tsqc.dll
c:\windows\system32\utgnehz.dll
c:\windows\system32\vhqq.dll
c:\windows\system32\xhtd.dll
c:\windows\frhhusyk.dll
c:\windows\kiefncol.dll
c:\windows\system32\avpsrv.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\mppds.dll
c:\windows\system32\msccrt.dll
c:\windows\system32\msimms32.dll
c:\windows\system32\msprint32d.dll
c:\windows\system32\navmon32.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\shaproc.dll
c:\windows\system32\ssldyn.dll
c:\windows\system32\winform.dll
c:\windows\919331mm.dll
c:\windows\919331wl.dll
c:\windows\system32\kvsc3.dll
wiasoisao.exe
c:\windows\ptsshell.exe
c:\windows\919331l.exe
c:\windows\msimms32.exe
c:\windows\msccrt.exe
c:\windows\919331m.exe
c:\windows\lotushlp.exe
c:\windows\navmon32.exe
c:\windows\msprint32d.exe
c:\windows\mppds.exe
c:\windows\avpsrv.exe
c:\windows\kvsc3.exe
c:\windows\ssldyn.exe
c:\windows\winform.exe
c:\windows\shaproc.exe
c:\windows\system32\792405c6.exe
c:\docume~1\admini~1\locals~1\temp\tmpf1.tmp
c:\windows\system32\drivers\msaclue.sys
c:\windows\system32\drivers\msyecp.sys
c:\windows\system32\drivers\pcihdd2.sys
c:\windows\system32\drivers\ati32srv.sys
c:\windows\system32\iebho.dll
c:\windows\system32\ietool.dll
c:\auto.exe
c:\autorun.inf
d:\auto.exe
d:\autorun.inf
e:\auto.exe
e:\autorun.inf
f:\auto.exe
f:\autorun.inf

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[wiasoisao] <wiasoisao.exe>
[PTSShell] <C:\WINDOWS\PTSShell.exe>
[WinSysW] <C:\WINDOWS\919331L.exe>
[MsIMMs32] <C:\WINDOWS\MsIMMs32.exE>
[msccrt] <C:\WINDOWS\msccrt.exe>
[WinSysM] <C:\WINDOWS\919331M.exe>
[LotusHlp] <C:\WINDOWS\LotusHlp.exe>
[NAVMon32] <C:\WINDOWS\NAVMon32.exE>
[MsPrint32D] <C:\WINDOWS\MsPrint32D.exe>
[mppds] <C:\WINDOWS\mppds.exe>
[AVPSrv] <C:\WINDOWS\AVPSrv.exE>
[Kvsc3] <C:\WINDOWS\Kvsc3.exE>
[SSLDyn] <C:\WINDOWS\SSLDyn.exE>
[WinForm] <C:\WINDOWS\WinForm.exE>
[SHAProc] <C:\WINDOWS\SHAProc.exe>

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[286EE121 / 286EE121] <C:\WINDOWS\system32\792405C6.EXE -k>

启动项目－－服务－－驱动程序之如下项禁用：
[ZHTU / ZHTU] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF1.tmp>
[msskye / msskye] <system32\DRIVERS\msaclue.sys>
[msertk / msertk] <system32\drivers\msyecp.sys>
[DeepFree Update / DeepFree Update] <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys>
[ATI2HDDSRV / ATI2HDDSRV] <\??\C:\WINDOWS\system32\drivers\ati32srv.sys>

系统修复－－　浏览器加载项之如下项删除：
[SrchHook Class] <C:\WINDOWS\system32\iebho.dll>
[快捷工具条3.2] <C:\WINDOWS\system32\IETool.dll>

瑞星卡卡安全论坛