瑞星卡卡安全论坛

我的电脑是在2月22日中午中的该病毒.我用的瑞星正版,版本是20.32.52.

用瑞星查杀病毒,在C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RsAutorunsDisabled目录下,发现病毒"a.exe"文件.

瑞星提示"重起电脑后会删除该病毒".但几次重起之后还是会发现该病毒.

请教各位高人,该如何清除这个病毒?

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe（（最好改个名运行，可以改为123.com））
3 智能扫描=》扫描=》保存报告
4 把报告保存后,将日志内容复制到另一个新建的空记事本里保存，再以附件形式发论坛来。
一定要以附件形式发论坛来
可以点我这贴的右下角的“引用”就知道怎么以附件形式发来了





这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除文件：
http://dl.filseclab.com/down/powerrmv.zip

删除C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RsAutorunsDisabled\a.exe

请高人浏览

附件: 10166452008223203136.txt

删除操作做了吗？？？？？

用高人推荐的费尔木马强力清除助手,结果变成"a.exe.0DEL.VIR"了!郁闷!!!

引用:

【chinaflower的贴子】用高人推荐的费尔木马强力清除助手,结果变成"a.exe.0DEL.VIR"了!郁闷!!! ………………

再删除C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RsAutorunsDisabled文件夹。
这里官网下载冰刃,在“文件”里找那文件夹强制删除：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip


关闭瑞星的所有监控

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改置空：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><utgnehz.dll,nauhgnem.dll,auhad.dll,nuygnef.dll,uohsom.dll,uyom.dll,gnolnait.dll,ijiq.dll,ijougiemnaw.dll,iemnaw.dll,niluw.dll,naixuhz.dll,xhtd.dll,oadgnohiac.dll,iqnauhc.dll,nahzij.dll,gnefnaib.dll,gsqq.dll,3auhad.dll,naijoad.dll,aixauh.dll,xhqq.dll,QQ.dll,hjxr.dll,zqhs.dll,oadnew.dll,dgzg.dll,hz.dll,2ty.dll,jsfg.dll,rj.dll,fmxh.dll,jmx.dll,wtwx.dll,ddtj.dll,fz.dll,gnaixnauhuoyizqq.dll,gnaixnauhqq.dll,2nauygniqaixnaij.dll,naijihzeuyouhz.dll,uyomielnux.dll,vlihzouhgnfe.dll,sfhx.dll,eve.dll,jsqc.dll,wtiemnaw.dll,dqncj.dll>  [N/A]

就是将  <AppInit_DLLs><utgnehz.dll,nauhgnem.dll,auhad.dll,nuygnef.dll,uohsom.dll,uyom.dll,gnolnait.dll,ijiq.dll,ijougiemnaw.dll,iemnaw.dll,niluw.dll,naixuhz.dll,xhtd.dll,oadgnohiac.dll,iqnauhc.dll,nahzij.dll,gnefnaib.dll,gsqq.dll,3auhad.dll,naijoad.dll,aixauh.dll,xhqq.dll,QQ.dll,hjxr.dll,zqhs.dll,oadnew.dll,dgzg.dll,hz.dll,2ty.dll,jsfg.dll,rj.dll,fmxh.dll,jmx.dll,wtwx.dll,ddtj.dll,fz.dll,gnaixnauhuoyizqq.dll,gnaixnauhqq.dll,2nauygniqaixnaij.dll,naijihzeuyouhz.dll,uyomielnux.dll,vlihzouhgnfe.dll,sfhx.dll,eve.dll,jsqc.dll,wtiemnaw.dll,dqncj.dll>  [N/A]      项置空为：

<AppInit_DLLs><> []
——————————————————————————————————————————
下面这驱动不认识，愿意的话，
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[pnicml / pnicml][Stopped/Manual Start]
  <\??\C:\DOCUME~1\AA\LOCALS~1\Temp\pnicml.sys><N/A>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本，全盘杀毒。

这里官网下载Windows清理助手，清理你那系统。
http://www.arswp.com/

请问如何用那个软件将这些项置空?

选择编辑啊

如果不行，就直接打开注册表，按路径，手工去编辑。

是在"值"这一选项,键入"0"么?

置空，就是什么都不输入

清空值

用Sreng2扫的时候,已经是空值了.
另外,用高人推荐的冰刃删除不了那个文件

重启后，抓图来看看

或者先用瑞星的主动防御禁止启动文件夹里创建文件、读取文件、访问等。

然后重启电脑。再删

请高人看图

附件: 10166452008223214726.jpg

引用:

【chinaflower的贴子】请高人看图 ………………

附件: 10166452008223214756.jpg

引用:

【chinaflower的贴子】 ………………

附件: 10166452008223214820.jpg

引用:

【chinaflower的贴子】 ………………

附件: 10166452008223214850.jpg

引用:

【chinaflower的贴子】 ………………

附件: 10166452008223214924.jpg

引用:

【chinaflower的贴子】 ………………

附件: 10166452008223214951.jpg

用瑞星主动防御禁了那个文件，然后用冰刃强制删除那文件外的那个文件夹。

至于SRENG工具的编辑，还是直接到注册表里打开相应注册表项，置空吧。

用瑞星主动防御禁了那个文件，可是用冰刃强制删除那文件外的那个文件夹仍然不成!!!!无奈了~~~~~~~~~~~

已经到注册表里删除了相应注册表项。

不知道你怎么操作的

很多人用冰刃都删除成功了。

请问是不是在这个界面下强制删除"RsAutorunsDisabled"文件夹?
我每次都这么操作,可是都会出现"删除失败"的提示.

附件: 10166452008224130830.jpg

天月高人请帮忙看看

那这样，你一定要用瑞星的主动防御禁了这启动文件夹的任何访问、读取、创建、修改、等，然后重启电脑，再用瑞星自身的右键菜单的粉碎功能来粉碎这个。

或再用冰刃删除。

愿意的话，再扫个新日志来看看。


或者你用什么光盘启动，去纯DOS下，删除这个文件夹吧

刚扫描的

附件: 10166452008224181058.txt

我不会用瑞星的主动防御禁了这启动文件夹的任何访问、读取、创建、修改:(

我也中了这个病毒啊~~  好像也是22号
郁闷中  希望能得到解决方法 

不知道这东西有什么害处

我的电脑也有这个东西了。和你说的一样。我不会删除啊。你要是弄会了告我一下吧。这电脑真是让人头疼了。

杀也杀不了。不知道该怎么办了。你们帮下忙哈。好心人。
我的QQ是37933005