瑞星卡卡安全论坛

各位大侠~~~~~~~~~~~~~~偶是菜鸟  你们的方法  我看的懂的都用了  就是不行啊  杀人啊。。。。。    瑞星一直红色啊 毒杀不完啊  ~~~~~~

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 10283242008323105813.txt

你这不是磁碟机
磁碟机症状：
http://forum.ikaka.com/topic.asp?board=109&artid=8436482

非磁碟机 你中的是 木马群
如果是磁碟机 那个扫描的根本无法启动
  [C:\WINDOWS\system32\jwlah.dll]  [N/A, ]
    [C:\WINDOWS\system32\xgnfn.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys]  [N/A, ]
    [C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\system32\PTSShell.dll]  [N/A, ]
    [C:\WINDOWS\system32\WSockDrv32.dll]  [N/A, ]
    [C:\WINDOWS\system32\dpvucy.dll]  [N/A, ]
    [C:\WINDOWS\system32\lnnmzp.dll]  [N/A, ]
    [C:\WINDOWS\system32\yojrgs.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\DbgHlp32.dlL]  [N/A, ]
    [C:\WINDOWS\system32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
[Provisioning Transaction Service / meng5555][Running/Auto Start]
  <C:\WINDOWS\system32\tmpA5.tmp.exe><N/A>
<SHAProc><C:\WINDOWS\SHAProc.exe>  []

    <igzwzslm><C:\WINDOWS\gwsmhxuq.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <WSockDrv32><C:\WINDOWS\WSockDrv32.exe>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exE>  []

1.用XDelBox以抑制再生方式删除以下文件：(http://www.dodudou.com/down/index.php 原创软件中的XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\internet explorer\plugins\winsys8v.sys
c:\windows\system32\avpsrv.dll
c:\windows\system32\dpvucy.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\wsockdrv32.dll
c:\windows\system32\dbghlp32.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\jwlah.dll
c:\windows\system32\kvsc3.dll
c:\windows\system32\lnnmzp.dll
c:\windows\system32\mppds.dll
c:\windows\system32\msosiocp.dll
c:\windows\system32\upxdnd.dll
c:\windows\system32\xgnfn.dll
c:\windows\system32\yojrgs.dll
c:\windows\system32\shaproc.dat
c:\windows\msimms32.exe
c:\windows\avpsrv.exe
c:\windows\lotushlp.exe
c:\windows\ptsshell.exe
c:\windows\kvsc3.exe
c:\windows\cmdbcs.exe
c:\windows\dbghlp32.exe
c:\windows\mppds.exe
c:\windows\wsockdrv32.exe
c:\windows\upxdnd.exe
c:\windows\gwsmhxuq.exe
c:\windows\shaproc.exe
c:\windows\system32\wingin.exe
c:\windows\system32\tmpa5.tmp.exe
c:\docume~1\admini~1\locals~1\temp\tmp5e.tmp
c:\docume~1\admini~1\locals~1\temp\tmp57.tmp
c:\windows\system32\drivers\msosfpids32.sys
c:\docume~1\admini~1\locals~1\temp\tmpb7.tmp
c:\windows\system32\iebho.dll
c:\windows\system32\ietool.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}] 
[{50632D5C-B71B-4ba0-B012-3DC6F15C011B}] 
[MsIMMs32]
[AVPSrv] 
[LotusHlp]
[PTSShell]
[Kvsc3]   
[cmdbcs] 
[DbgHlp32]
[mppds]   
[WSockDrv32]
[upxdnd] 
[igzwzslm]
[SHAProc] 
[Wingin] 

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Provisioning Transaction Service / meng5555]   

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[mhfp / mhfp]     
[jtio / jtio]     
[fpids32 / fpids32]
[dohs / dohs]     

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys>
[SrchHook Class]    <C:\WINDOWS\system32\IEBHO.dll>
[快捷工具条3.2]    <C:\WINDOWS\system32\IETool.dll>
[快捷工具条3.2]    <C:\WINDOWS\system32\IETool.dll>
[SrchHook Class]    <C:\WINDOWS\system32\IEBHO.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys>

磁碟机的特征是进程里有两组smss.exe、csrss.exe程序！楼主还是按照版主说的做吧!

我就是进程里面有smss.exe  lsass.exe csrss.exe
我的天啊

引用:

【aiyanyan的贴子】我就是进程里面有smss.exe  lsass.exe csrss.exe 我的天啊 ………………

是两组……