瑞星卡卡安全论坛

========Title========
【求助】中毒了，急救
========Content========
刚才用瑞星杀毒，杀出Trojan.PSW.Win32.QQGame.GEN,还有Trojan.Win32.Undef.aqc 显示删除失败,路径C:\\WINDOWS\system32,想打开c盘找找,C|D|E|F盘都打不开了.按右键,打开,也只显示打开方式列表.请教高手帮忙.

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

看置顶求助需知

C:\WINDOWS\system32\PTSShell.dll  《删除染毒文件》删不掉。

C:\WINDOWS\system32\NVDispDrv.dll 这个染毒文件也删除不掉。磁盘也打不开了。

http://www.kztechs.com/index1.html
下载System Repair Engineer 2.5
扫描日志上来

C|D|E|F盘都打不开了.按右键,打开,也只显示打开方式列表.请教高手帮忙.



用WinRAR找到并删除各分区根目录下的autorun.inf

是这个日志吗？

附件: 10127112008211222220.txt

下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。
3、下载解压后如果不能运行，请重新下载，并直接将其下载保存至系统文件夹内解压后改名运行。

谢谢指点。
“下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；”

下载了并且解压，但c盘无法打开，找不到SRENG文件夹。

用WinRAR找到并删除各分区根目录下的autorun.inf
在WinRAR没找到根目录下的autorun.inf
望指点。

引用:

【xuxuwa的贴子】谢谢指点。 “下载 System Repair Engineer系统扫描工具软件，下载地址如下： http://www.kztechs.com/sreng/download.html 扫描和上传日志的方法： 1、解压缩所下载的sreng2.zip压缩包； 2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；” 下载了并且解压，但c盘无法打开，找不到SRENG文件夹。 用WinRAR找到并删除各分区根目录下的autorun.inf 在WinRAR没找到根目录下的autorun.inf 望指点。 ………………

你怎不下载在桌面上解压运行呢？

引用:

【天月来了的贴子】 你怎不下载在桌面上解压运行呢？ ………………

这个日志对了吗？

附件: 10127112008211231535.txt

1.用XDelBox以抑制再生方式删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\fonts\00-03-0d-57-32-5b\system\inudhya.dll
c:\progra~1\3721\alliveex.dll
c:\progra~1\3721\alrex.dll
c:\progra~1\3721\autolive.dll
c:\progra~1\3721\helper.dll
c:\windows\downlo~1\cnshook.dll
c:\windows\downlo~1\cnsmin.dll
c:\windows\system32\nvdispdrv.dll
c:\windows\system32\ptsshell.dll
c:\windows\downlo~1\cnsio.dll
c:\windows\downlo~1\cnsminex.dll
c:\windows\downlo~1\cnsminio.dll
c:\progra~1\yahoo!\assistant\yassistse.exe
c:\progra~1\yahoo!\assistant\shell\yasmenu.dll
c:\progra~1\yahoo!\assistant\shell\yassecblk.dll
c:\progra~1\yahoo!\assistant\shell\yieangel.dll
c:\progra~1\yahoo!\assistant\shell\ymenuinfo.dll
c:\program files\rising\antispyware\ieprot.dll
c:\progra~1\3721\scrblock.dll
c:\progra~1\yahoo!\assist~1\assist\yangling.dll
c:\progra~1\yahoo!\assist~1\assist\yassist.dll
c:\progra~1\yahoo!\assist~1\assist\ydrags~1.dll
c:\progra~1\yahoo!\assist~1\assist\yphtb.dll
c:\windows\downlo~1\cnsplus.dll
c:\windows\downlo~1\cnshint.dll
c:\windows\system32\rundll32.exe c:\progra~1\3721\helper.dll,rundll32
c:\progra~1\yahoo!\assist~1\ylive.exe
c:\windows\system32\drivers\rjavltd.sys
c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
c:\windows\system32\drivers\msaclue.sys
c:\windows\\systemroot\system32\drivers\kgkhjd.sys
c:\windows\system32\drivers\acpisys.sys
c:\windows\system32\drivers\cnsminkp.sys
c:\windows\system32\drivers\adprot.sys
res://c:\progra~1\yahoo!\assist~1\assist\yrss.dll/yrssmenuext
res://c:\progra~1\yahoo!\assistant\assist\yasbar.dll/203
c:\progra~1\yahoo!\assistant\assist\yasbar.dll
c:\progra~1\yahoo!\assistant\yalive.dll
c:\windows\downloaded program files\cnsmin.dll
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[helper.dll]    <C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32>
[YLive.exe]    <C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe>
[yassistse]    <C:\progra~1\yahoo!\assistant\yassistse.exe>
[{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]    <C:\WINDOWS\DOWNLO~1\CnsHook.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[rjavltd / rjavltd]    <\SystemRoot\system32\drivers\rjavltd.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>
[msskye / msskye]    <\??\C:\WINDOWS\system32\DRIVERS\msaclue.sys>
[kgkhjd / kgkhjd]    <\SystemRoot\\SystemRoot\System32\drivers\kgkhjd.sys>
[ACPISYS / ACPISYS]    <\SystemRoot\System32\drivers\ACPISYS.sys>
[CnsMinKP / CnsMinKP]    <\SystemRoot\system32\drivers\CnsMinKP.sys>
[ADProt / ADProt]    <\SystemRoot\system32\drivers\ADProt.sys>

    系统修复－－　浏览器加载项之如下项删除：
[添加到雅虎订阅(&Y)]    <res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT>
[雅虎搜索]    <res://C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll/203>
[雅虎助手]    <C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll>
[assist]    <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yassist.dll>
[雅虎助手]    <C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll>
[Yahoo!Live]    <C:\PROGRA~1\Yahoo!\Assistant\yalive.dll>
[AutoLive]    <C:\PROGRA~1\3721\autolive.dll>
[3721]    <C:\WINDOWS\Downloaded Program Files\CnsMin.dll>
[CnsHook Class]    <C:\WINDOWS\DOWNLO~1\CnsHook.dll>
[CnsHook Class]    <C:\WINDOWS\DOWNLO~1\CnsHook.dll>

差点又忘了 还有映像劫持  插到这一步：下载附件，解压后运行


下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp.rar
清理系统

差点又忘了 还有映像劫持  下载附件，解压后运行

附件: 9752352008211233459.rar

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除文件：
http://dl.filseclab.com/down/powerrmv.zip

删除这三个文件

C:\WINDOWS\Fonts\00-03-0D-57-32-5B\system\inudhya.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\NVDispDrv.dll

————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项，将启动类型改为“Disabled”
==================================
驱动程序
[ACPISYS / ACPISYS][Stopped/Auto Start]
  <\SystemRoot\System32\drivers\ACPISYS.sys><N/A>

[kgkhjd / kgkhjd][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\kgkhjd.sys><N/A>

[msskye / msskye][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\msaclue.sys><N/A>

[rjavltd / rjavltd][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\rjavltd.sys><>
——————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》里面找下面删除
==================================
HOSTS 文件
124.238.254.113        www.txwm1204.com
————————————————————————————————————————
这里官网下载映像劫持修复工具(下载后的文件，可能要自己加个  .rar  的扩展名，才能解压。）
http://bbs.duba.net/thread-21881766-1-1.html

删除检测到所有映像劫持
——————————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本，全盘杀毒。

这里官网下载Windows清理助手，清理你那系统。
http://www.arswp.com/

谢高手指点，全按如上所说做了，磁盘能打开了，但现在瑞星的伞是红色的了，怎么办？再请教，刚才解压在桌面上的那些东西，怎么从桌面上弄掉？

引用:

【xuxuwa的贴子】谢高手指点，全按如上所说做了，磁盘能打开了，但现在瑞星的伞是红色的了，怎么办？再请教，刚才解压在桌面上的那些东西，怎么从桌面上弄掉？ ………………

修复下瑞星,不行的话再扫份SRENG日志来

桌面的东西点右键删除掉就可以了

请教怎样修复瑞星，今天上网一连接网络，就出现提示框：iexplore.exe 遇到问题需要关闭。我们对此引起的不便表示抱歉。现在没关闭这个框，才上了这个论坛。瑞星的伞还是红色的。请高手指点。