瑞星卡卡安全论坛

表现如下:

瑞星开机自动变红伞,防火墙没了,也不能更新,点击没有反应.

安全模式进不去.

刚才下载了
"附1：System Repair Engineer扫描日志操作方法：
下载地址：http://kztechs.com/sreng/download.html"

这里的工具,想上传扫描日志,但是一点击解压缩完的程序SREngPS.EXE,这个文件就自动消失了......


这样的系统还能救吗?怎么做...哭死...谢谢解答!




[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

用瑞星听诊器扫个日志

瑞星工具里的?是2008版里面的吗?我这台电脑上的瑞星还停留在2007版...现在不能升级....没找到瑞星听诊器在哪里?

要不我先去瑞星网站下载个2008新版的?可是现在系统里有病毒安装还可以吗?

下载附件

记得改名

附件: 8850212008212152817.rar

扫描好了,上传了..

另外补充2个特征:

1.就像下面这个txt文件,名字是"日志",但是我电脑打开之后,"日志"二字不能显示,显示的是两个框框.

2.在系统进程里,有个进程是"4.exe",停止进程之后,会出现其他数字"12.exe",但是总停止不了,还会有其他数字. 这个我以前电脑也出现过相似的,08版的瑞星提示好象是恶意代码.




附件: 6979992008212154314.txt

临时处理一下

一定要断网操作

你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载：http://www.dodudou.com/down/里面的“原创软件文件夹”下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）运行xdelbox前请拔掉插在电脑上的所有移动硬盘、U盘、MP3等。
将下面的文件信息全部复制，然后打开Xdelbox,勾选“抑制文件再生”，直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

c:\windows\wiasoisao.exe
c:\windows\system32\oadnew.dll
c:\windows\system32\ijougiemnaw.dll
c:\windows\system32\uohsom.dll
c:\windows\system32\niluw.dll
c:\windows\system32\naixuhz.dll
c:\windows\system32\hjxr.dll
c:\windows\system32\naijoad.dll
c:\windows\system32\gnaixnauhqq.dll
c:\windows\system32\gnolnait.dll
c:\windows\system32\3auhad.dll
c:\windows\system32\utgnehz.dll
c:\windows\system32\auhad.dll
c:\windows\system32\bauhgnem.dll
c:\windows\system32\oqnauhc.dll
c:\windows\system32\pahzij.dll
c:\windows\system32\atgnehz.dll
c:\windows\system32\kiluw.dll
c:\windows\system32\laixuhz.dll
c:\windows\system32\jemnaw.dll
c:\windows\kfnrthoh.dll
c:\windows\system32\bpgwtjfxv.oct
c:\windows\system32\thyolbxpn.dll
c:\windows\system32\ftkaxnjbz.dll
c:\program files\internet explorer\plugins\wn_sys8x.sys
c:\windows\kiefncol.dll
c:\windows\system32\zjydcx.dll
c:\windows\kfnrthoh.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\winform.dll
c:\windows\system32\shaproc.dll
c:\windows\system32\hddguard.dll
c:\windows\system32\kab-kab-1031.dll
c:\windows\system32\igb_cqsj_1024.dll
c:\windows\winform.exe
c:\windows\kvsc3.exe
c:\windows\shaproc.exe

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式

进入系统后，再立即扫SRENG日志发来

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径,抑制再生，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\WIASOISAO.EXE
C:\WINDOWS\SYSTEM32\OADNEW.DLL
C:\WINDOWS\SYSTEM32\IJOUGIEMNAW.DLL
C:\WINDOWS\SYSTEM32\UOHSOM.DLL
C:\WINDOWS\SYSTEM32\NILUW.DLL
C:\WINDOWS\SYSTEM32\NAIXUHZ.DLL
C:\WINDOWS\SYSTEM32\HJXR.DLL
C:\WINDOWS\SYSTEM32\NAIJOAD.DLL
C:\WINDOWS\SYSTEM32\GNAIXNAUHQQ.DLL
C:\WINDOWS\SYSTEM32\GNOLNAIT.DLL
C:\WINDOWS\SYSTEM32\3AUHAD.DLL
C:\WINDOWS\SYSTEM32\UTGNEHZ.DLL
C:\WINDOWS\SYSTEM32\AUHAD.DLL
C:\WINDOWS\SYSTEM32\BAUHGNEM.DLL
C:\WINDOWS\SYSTEM32\OQNAUHC.DLL
C:\WINDOWS\SYSTEM32\PAHZIJ.DLL
C:\WINDOWS\SYSTEM32\ATGNEHZ.DLL
C:\WINDOWS\SYSTEM32\KILUW.DLL
C:\WINDOWS\SYSTEM32\LAIXUHZ.DLL
C:\WINDOWS\SYSTEM32\JEMNAW.DLL
C:\WINDOWS\KFNRTHOH.DLL
C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WN_SYS8X.SYS
C:\PROGRA~1\3721\AUTOLIVE.DLL
C:\PROGRA~1\3721\NOTIFIER.DLL
C:\WINDOWS\DOWNLO~1\CNSMIN.DLL
C:\WINDOWS\SYSTEM32\BPGWTJFXV.OCT
C:\WINDOWS\SYSTEM32\THYOLBXPN.DLL
C:\WINDOWS\SYSTEM32\FTKAXNJBZ.DLL
C:\WINDOWS\KIEFNCOL.DLL
C:\WINDOWS\SYSTEM32\ZJYDCX.DLL
C:\WINDOWS\SYSTEM32\HHRDXD.DLL
C:\WINDOWS\SYSTEM32\WINFORM.DLL
C:\WINDOWS\SYSTEM32\SHAPROC.DLL
D:\C盘备份\IWNDAQ.DLL
C:\WINDOWS\SYSTEM32\KAB-KAB-1031.DLL
C:\WINDOWS\SYSTEM32\IGB_CQSJ_1024.DLL
C:\WINDOWS\SYSTEM32\SHAPROC.DLL
C:\WINDOWS\SYSTEM32\WINFORM.DLL
C:\WINDOWS\SYSTEM32\KVSC3.DLL
D:\C盘备份\IWNDAQ.DLL
C:\WINDOWS\system32\SSup.dll
C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\TMP10.TMP
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\TMPC.TMP
C:\WINDOWS\SYSTEM32\DRIVERS\PCIHDD2.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\MSACLUE.SYS
C:\WINDOWS\SYSTEM32A2.SYS
C:\WINDOWS\SYSTEM32\MSEPION.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\ATI32SRV.SYS



重启，看SRENG能不能运行 
可以的话
再用SRENG扫份日志上来

以上操作都在断网下操作

----"然后打开Xdelbox,勾选“抑制文件再生”"

1.6的那个程序里面的文字我这里看不到...问一下,那3个勾选的选项怎么选? 自动选的是第二个和第三个,还需要改吗?

全部勾上

好吧,我刚才全部勾上,但是重启之后SRENG还是不能运行...一运行就消失.....

之后就出现好多什么错误框,停在桌面背景上不动了,只能按重启.

我再试一次吧?..

重启后进入系统那选择DEL的那个

不行,还是运行不了SRENG,一运行程序就消失.

另外,重启进去那个1.6系统的时候,有个窗口弹出提示"加载C:\WINDOWS\DOWNLO~1\CnsMin.dll时出错.找不到加载路径."

还有,打开IE后出现一个不知道什么名字(我这里看不到),好象是保护IE的东西?选项卡是 IE保护白名单和 IE保护黑名单.我截图一会儿贴出来.

那是因为你只删除了3721和病毒的文件，没有删除注册表的加载项造成

你删完后再扫个日志上来看

是 进入的1.6那个程序的系统, 显示的是: A:/echo off...然后有几个C盘的文件说"找不到",之后就进入了系统. SRENG还是不能打开..

现在用瑞星听诊器再扫描一遍有用没?日志见下面附件.

附件: 6979992008212170211.txt

你这d:\c盘备份\到底是什么东西啊？？？？？？？？

这是之前别人帮忙重装系统时候的系统备份建的文件夹, 后来用于存放网络快车这些所有下载的东西....默认的下载的东西都里面.

一定要断网处理，不然不能成功：

那你只有再用Xdelbox这个工具去删除这些文件。

Xdelbox下载：里面的“原创软件文件夹”下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）
将下面的文件信息全部复制，然后打开Xdelbox,直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

c:\windows\system32\knaixnauhuoyizqq.dll
c:\windows\system32\thyolbxpn.dll
c:\windows\system32\ftkaxnjbz.dll
c:\windows\system32\hddguard.dll
c:\windows\system32\mkgozx.dll
c:\windows\kiefncol.dll
c:\windows\kfnrthoh.dll
c:\program files\internet explorer\plugins\wn_sys8x.sys
c:\windows\system32\hhrdxd.dll
c:\windows\system32\auhad.dll
c:\windows\system32\gnolnait.dll
c:\windows\system32\uohsom.dll
c:\windows\system32\ijougiemnaw.dll
c:\windows\system32\naijoad.dll
c:\windows\system32\oadnew.dll
c:\windows\system32\bauhgnem.dll
c:\windows\system32\laixuhz.dll
c:\windows\system32\oqnauhc.dll
c:\windows\system32\atgnehz.dll
c:\windows\system32\knaixnauhuoyizqq.dll
c:\windows\system32\kiluw.dll
c:\windows\system32\73228.dat
c:\windows\frhhusyk.exe
c:\windows\system32\4.exe
c:\windows\winform.exe
c:\windows\kvsc3.exe
c:\windows\shaproc.exe
c:\windows\wiasoisao.exe
c:\windows\system32\drivers\ati32srv.sys
c:\docume~1\admini~1\locals~1\temp\tmp10.tmp
c:\windows\system32\drivers\pcihdd2.sys
c:\docume~1\admini~1\locals~1\temp\tmpc.tmp

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式

进入系统后，再立即扫SRENG日志发来。

操作千万不要再处错，仔细了

在SRENG日志扫好后，你才能再连网。

等会

在未连网之前，再这样做：

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
d:\c盘备份\iwndaq.dll
d:\c盘备份\wsock32.dll

上面的那三个选项都勾选上吗? 我这里看不到后面的文字

可能是XDELBOX没有起作用
下载http://www.dodudou.com/down/index.php
这里面那个磁碟机测试版，还有，所有的工具你放桌面，中间不要进入别的盘 也不要运行任何程序

C:\WINDOWS\SYSTEM32\KNAIXNAUHUOYIZQQ.DLL
C:\PROGRA~1\3721\HELPER.DLL
C:\WINDOWS\SYSTEM32\THYOLBXPN.DLL
C:\WINDOWS\SYSTEM32\FTKAXNJBZ.DLL
C:\WINDOWS\SYSTEM32\HDDGUARD.DLL
C:\WINDOWS\SYSTEM32\MKGOZX.DLL
C:\WINDOWS\KIEFNCOL.DLL
C:\WINDOWS\KFNRTHOH.DLL
C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WN_SYS8X.SYS
C:\WINDOWS\SYSTEM32\HHRDXD.DLL
C:\WINDOWS\SYSTEM32\THYOLBXPN.DLL
C:\WINDOWS\SYSTEM32\FTKAXNJBZ.DLL
C:\WINDOWS\SYSTEM32\73228.DAT
C:\WINDOWS\SYSTEM32\AUHAD.DLL
C:\WINDOWS\SYSTEM32\GNOLNAIT.DLL
C:\WINDOWS\SYSTEM32\UOHSOM.DLL
C:\WINDOWS\SYSTEM32\IJOUGIEMNAW.DLL
C:\WINDOWS\SYSTEM32\NAIJOAD.DLL
C:\WINDOWS\SYSTEM32\OADNEW.DLL
C:\WINDOWS\SYSTEM32\BAUHGNEM.DLL
C:\WINDOWS\SYSTEM32\LAIXUHZ.DLL
C:\WINDOWS\SYSTEM32\OQNAUHC.DLL
C:\WINDOWS\SYSTEM32\ATGNEHZ.DLL
D:\C盘备份\IWNDAQ.DLL
D:\C盘备份\WSOCK32.DLL
C:\WINDOWS\SYSTEM32\IETOOL.DLL
C:\WINDOWS\SYSTEM32\4.EXE
D:\C盘备份\START.EXE
C:\PROGRA~1\TENCENT\SSPLUS\SPLUS.DLL
C:\WINDOWS\WINFORM.EXE
C:\WINDOWS\KVSC3.EXE
C:\WINDOWS\SHAPROC.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\TMP10.TMP


我们提到的所有文件都贴进去

好 一会儿我直接断网 不需要关IE就可以吧? 然后按步骤操作..

还是不行...

刚才让我删的那2个文件有1个删掉了,一个还有:

d:\c盘备份\wsock32.dll 还有.

那2个版本的我都试了,还是不能运行SRENG....

要不重装系统吧还是...格了C盘就可以吗?这么多木马病毒在D盘..?

如果你格C盘重做系统的话 最好先断开网络
然后装杀软到C盘 病毒库升级到最新，全盘查杀
在全盘杀前千万不要运行任何程序 打开任何盘

恩好的 明白了谢谢拉*^_^*大家辛苦了谢谢!

可以的话最好传个样本上来

实际还有办法折腾。只可惜总会面临求助的动手能力不够

重装系统也不错的。