瑞星卡卡安全论坛

开始是安全卫士被关闭，上网所有反毒网站都被转到baidu，连google都是



在网上找了相关信息好像不管用进入安全模式找不到带毒文件，只是删除了ie的临时文件夹内容



用yahoo助手修复ie，清楚hosot表后重启可以用安全卫士了，然后用其和诺顿扫描过去掉了一些木马。



但是只要恢复系统还原好像就不行，ie又被改了，但网页没有被转现在系统凑合能用，但好像还有些地方不对，如开机让我进行chk但自己又中断了，传上扫描文件，请各位帮我看看。谢谢


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; (R1 1.3); .NET CLR 2.0.50727)


附件: 744832200831211909.txt

下面各项及其对应文件都不认识，你自己去认真看看

愿意的话，这样操作

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{038CF47B-159D-C048-E16A-7BF37BF37BE3}><C:\WINDOWS\system32\GJYCFUX.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\tmp14.tmp><N/A>

[iCafe Manager / iCafe Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\usbhcid.sys><N/A>

[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\tmp2F.tmp><N/A>

[Sc Manager / Sc Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\usbcams3.sys><N/A>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本，全盘杀毒。

这里官网 下 载 W i n d o w s 清理助手，清理你那系统。
http://www.arswp.com/

【回复“天月来了”的帖子】
清过了，好像不管用，而且被植入许多盗号木马，显示有其他人登陆到我的机器。下面士新的扫描文件

恩？？？

最新日志呢？？？？

啊啊

附件: 74483220083291329.txt

【回复“xkypp”的帖子】补充句，病毒会自动把360，xp清理程序等都改掉，启动不了，原来的可执行文件全没了

愿意的话去控制面板那里的“添加删除程序”里卸载Yahoo

这下面两个文件实在不认识，你自己认真的判断一下

C:\WINDOWS\system32\PTXLPTH.dll
C:\WINDOWS\system32\DGVYCRU.dll

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{F27AE36A-048C-BF37-D058-6AE26AE16AD2}><C:\WINDOWS\system32\DGVYCRU.dll>  []
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。
没问题就行了。

觉得还不行，就详细说说被植入许多盗号木马文件名和路径，

显示有其他人登陆到我的机器的详细描述

"病毒会自动把360，xp清理程序等都改掉，启动不了，原来的可执行文件全没了"

观察一下，是否一开启QQ软件，就会这样？？

1<{F27AE36A-048C-BF37-D058-6AE26AE16AD2}><C:\WINDOWS\system32\DGVYCRU.dll> []我删除过好几遍了，但好像开机就有
2。杀过毒了，但没有发现，目前正常
3。C:\WINDOWS\system32\下有trojan horse 文件名patch23.dll
hacktool.rookit 文件名msosfdids32.sys c:\program..\inte..exp\plugins\下有winsys8k.sys感染病毒infostealer.gampass 
4qq下有二个盗号木马，没有记录开qq不会引起关闭360
系统运行一段时间360报错关闭让后病毒就又发作
5。在用xp清理助手时，在启动是提示有其他用户登陆本机，重启将丢失信息。
6。目前好像机器正常
7.yahoo是为了修复ie装的，如果没问题我当然可以删除了
对了，谢谢帮忙

很关键的估计是这C:\WINDOWS\system32\DGVYCRU.dll

你用解压工具WinRAR依路径打开找这文件还在不在了。

不在就行了，再观察一段时间看看吧

360工具可以彻底卸载，并手工删除其安装目录下的所有残余文件。

再重装吧。

【回复“天月来了”的帖子】我把dv。。dll文件移开了，有看见几个23。exe24。exe的文件我也删除了，重启后又不行了，在c:\...temp下总会有几个。tmp的文件，删除提示另一人正在使用。。还把360也指向该文件，导致打不开
真的要重装系统？？

清空IE缓存，清空临时文件夹。

然后再扫新日志来。

【回复“天月来了”的帖子】
我每次给你的日志都是清空后的，没用启动后会不断生成。可定还有带毒文件没找到

QQ

附件: 744832200832142407.txt

既然还不行，那就干开了

你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载：http://www.dodudou.com/down/里面的“原创软件文件夹”下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）运行xdelbox前请拔掉插在电脑上的所有移动硬盘、U盘、MP3等。
将下面的文件信息全部复制，然后打开Xdelbox,（打开后，不要好奇点这Xdelbox玩）直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\system32\DGVYCRU.dll
C:\WINDOWS\system32\XBPTWLP.dll
C:\WINDOWS\system32\drivers\yaskp.sys


重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式
进入系统后，再做下面的：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：

启动项目
注册表
    <{F27AE36A-048C-BF37-D058-6AE26AE16AD2}><C:\WINDOWS\system32\DGVYCRU.dll>  [N/A]
    <{159D059C-26BE-D169-F37B-8C148C048C04}><C:\WINDOWS\system32\XBPTWLP.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[yaskp / yaskp][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\yaskp.sys><N/A>
————————————————————————————————————
再重启电脑，看看怎样

不过这  yaskp.sys  文件又不知道是什么玩意。

还把360也指向该文件，导致打不开？？？？

那句话是什么意思？？？？

【回复“天月来了”的帖子】就是，360的快捷方式属性里指向的是temp文件夹中的14.tmp病毒文件

那你现在怎样了。

360的东西卸载后，都删吧。包括快捷方式。

等处理完病毒再说。

这里官网下载冰刃，
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

在冰刃的“文件”中找temp文件夹强制删除所有文件.tmp文件，还有其他不明文件都删。

【回复“天月来了”的帖子】刚重启好，暂时正常
我开始总提示进行chk但自己就中断
还有我的语言栏的图标不见了

【回复“天月来了”的帖子】刚给我的xdelbox不能删temp里的东西吗，（目前还没有东西）为这病毒下载的软件越来越多

没试过。尤其是通配符。

这工具不能老折腾，出问题不好玩。它修改系统引导文件BOOT.ini

还是小心点用。

【回复“天月来了”的帖子】
目前机器正常，语言栏也被我在run里运行一次后就会自动启动了。但是还是运行不了chkdsk

这我帮不了你了

建议你去下面系统软件区求助。

呵呵！！！

我够菜的了吧

估计版主里，也就我最菜的了。

【回复“天月来了”的帖子】哈哈，没关系，谢谢，我是怕chkdsk是被病毒撤销执行的，那就说明没清干净。我去下面问问，辛苦了