瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 电脑求助
思达广告 - 2008-3-16 17:23:00
电脑不能运行瑞星杀毒软件,不能打开瑞星、金山等网站及含有带瑞星、金山等字眼的文件夹,一打开就自动关闭,瑞星只能定时杀毒,杀完后也不能关掉,升级后也不能安装,也不能卸载,只能在安全模式下进行,回到正常模式又不行了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)


附件: 10247302008316171654.txt
小企鹅S - 2008-3-16 19:10:00
API HOOK
入口点错误:FreeLibrary (危险等级: 高,  被下面模块所HOOK: 0x5F00002D)

这个你也没看见吗?
sako - 2008-3-17 1:39:00
较麻烦
拿api hook
是瑞星的 具体解决方法我下一帖
sako - 2008-3-17 1:42:00


首先下载Xdelbox这个软件 下载地址http://www.dodudou.com/down/里面的原创软件文件夹下
下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\jpwjlq.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\NAVMon32.exE
C:\WINDOWS\Kvsc3.exE
C:\windows\fonts\00-11-22-33-44\system\fbd.exe

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

在清理时,请不要连接任何可移动介质,如u盘等,拔掉网线
sako - 2008-3-17 1:44:00
还是这个软件
在 添加旁边的框中 分别输入
C:\WINDOWS\system32\ayNNBNNB1039.dll
C:\WINDOWS\system32\ffCBDCBD1036.dll
C:\WINDOWS\system32\ffFKKFKK1047.dll

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
sako - 2008-3-17 1:47:00
重新启动后
用sreng删除下列启动项
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <SHAProc><C:\WINDOWS\SHAProc.exe>  []
    <WSockDrv32><C:\WINDOWS\jpwjlq.exe>  [N/A]
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  []
    <upxdnd><; C:\WINDOWS\upxdnd.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <NAVMon32><C:\WINDOWS\NAVMon32.exE>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <kkaddmin><C:\windows\fonts\00-11-22-33-44\system\fbd.exe>  []
<{1e7cc00e-13f4-498f-87a6-f502ce022d9e}><C:\WINDOWS\system32\ayNNBNNB1039.dll>  []
    <{9ef410d2-d67a-4f02-beb2-cc14b375da17}><C:\WINDOWS\system32\ffCBDCBD1036.dll>  []
    <{d9a0e8e6-e1f0-4b21-a09e-22e6e189fd7a}><C:\WINDOWS\system32\ffFKKFKK1047.dll>  []
删除下列驱动
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp44.tmp><N/A>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[iCafe Manager / iCafe Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[PciHdd / PciHdd][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\pcihdd.sys><N/A>
[presafe / presafe][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\presafe.sys><N/A>
禁用下列驱动(这些是可疑的,让高手看看再作判定)
[msert / msert][Running/Auto Start]
  <system32\drivers\mselk.sys><N/A>
[msertk / msertk][Running/Auto Start]
  <system32\drivers\msyecp.sys><N/A>
sako - 2008-3-17 1:51:00
用sreng删除下列浏览器加载项
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[]

用xdelbox删除下列文件
在 添加旁边的框中 分别输入
[C:\WINDOWS\system32\laixuhz.dll]  [N/A, ]
    [C:\WINDOWS\system32\oqnauhc.dll]  [N/A, ]
    [C:\WINDOWS\system32\xjxr.dll]  [N/A, ]
    [C:\WINDOWS\system32\eohsom.dll]  [N/A, ]
    [C:\WINDOWS\system32\ijougiemnaw.dll]  [N/A, ]
    [C:\WINDOWS\system32\pahzij.dll]  [N/A, ]
C:\WINDOWS\Fonts\00-11-22-33-44\system\inudhya.dllC:\WINDOWS\system32\ayNNBNNB1039.dll]  [N/A, ]
    [C:\WINDOWS\system32\ffCBDCBD1036.dll]  [N/A, ]
    [C:\WINDOWS\system32\ffFKKFKK1047.dll]  [N/A, ]
[C:\WINDOWS\Fonts\00-11-22-33-44\system\inudhya.dll]  [N/A, ]
[C:\WINDOWS\System32\xjxr.dll]  [N/A, ]
    [C:\WINDOWS\System32\eohsom.dll]  [N/A, ]
    [C:\WINDOWS\System32\ijougiemnaw.dll]  [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\DbgHlp32.dlL]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\PTSShell.dll]  [N/A, ]
    [C:\WINDOWS\system32\NAVMon32.dll]  [N/A, ]


输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式


可能有重复,你就都删除就行
sako - 2008-3-17 1:52:00
最后下载av终结者专杀,去瑞星官网等大型反病毒网站下载即可
查杀后
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar


清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
sako - 2008-3-17 1:54:00
太麻烦了,我只能解决这么多

搞定后从新扫日志上来看!

把杀软全部卸载掉重新安装一个,不要用原来的了,怕被感染了
升级到最新版本安全模式下全盘查杀

其他问题扫上日志再看
sako - 2008-3-17 2:05:00
你也可以先下载av专杀吧,呵呵,比较麻烦总之~

那个api不用管
思达广告 - 2008-3-17 14:56:00
大虾谢了,照你的方法问题基本解决了,下面是我最新的日志,不知道还有什么问题吗,还有就是WINDOWS的那些自动更新的程序可以升级吗,电脑老在提示我下载更新!

附件: 10247302008317144453.txt
sako - 2008-3-18 6:17:00
呵呵,忘记了,你下载个修复IFEO劫持的DD
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe
或者到瑞星官网找也可以
更简单,sreng也可以修复,请删除下列启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo1_.exe]
    <IFEO[Logo1_.exe]><net>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo_1.exe]
    <IFEO[Logo_1.exe]><net>  [N/A]
不推荐,比较麻烦,还是下载个修复工具好
还有,专杀用了吧,呵呵,日志除了IFEO没修复外其他无异常
记得,如果有还原点的话,已经被破坏了,请重新设定还原点。

sako - 2008-3-18 6:18:00
最后到安全模式全盘查杀,然后清理临时文件夹,用asrwp清理下就没问题了
1
查看完整版本: 电脑求助
© 2000 - 2026 Rising Corp. Ltd.