瑞星卡卡安全论坛

我的PC是双系统
刚开始开机时第一个系统进入后 瑞星的杀毒程序 监控中心 防火墙 卡卡助手 全都打不

开，然后我去瑞星所在的文件夹里找程序，结果点了后说是windows找不到文件，让通过

搜索查找打开。 但是我试了还是不行。

然后我重新启动进入第二个系统，第二个系统的瑞星一系列程序都可以顺利打开升级杀

毒，所以我想试试先通过第二个系统查杀病毒、装补丁，再进入第二个系统运行杀毒软

件什么的。

我在第一个系统中杀毒时，有将近200多个文件受到Trojan.PSW.Win32.GameOL.mXX 这个

病毒感染，清楚病毒后，又使用System Repair Engineer修复了一下说是有几个入口点错

误。

重新启动后，进入第一个系统，但是瑞星一系列程序仍然打不开，于是到卡卡论坛参考

了<一夜间杀毒程序都打不开>的文章，下了个 “删除劫持映像恶意软件”的软件（名字

不知道，直接从文章里给的连接下的）。 运行后，瑞星杀毒程序，监控中心，卡卡上网

助手都可以打开了（但一重起刚运行瑞星就马上被关闭了，运行“删除劫持映像恶意软

件”的软件后又能打开，好像开机后瑞星程序又被关闭了），杀毒，但是还是有几十个

文件有病毒：Trojan.PSW.Win32.GameOL.mjf  Trojan.PSW.Win32.GameOL.muy  文件名

是upack0.34  。运行卡卡助手 查杀时发现4个木马程序，显示成功删除3个，剩余一个

说要重起才能查杀成功，可是重起多次都不行！这个是木马程序的名字：流行木马

(152).Ini （危险级别：高  状态：存在）

下了 windows清理助手 查杀 有24个可清理对象，其中我看了，有好多是木马程序，盗

号木马，劫持映像木马等等。也都是顽固木马，重起也查杀不下去！

因为家里人有看股票有玩网游的，怕被盗号，所以急需解决。。。



2楼我会放上日志 分别是第一个系统 和 第二个系统。

麻烦版主帮忙解决下吧~ 非常感谢！~


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )



附件: 10382012008410135901.txt

这个是我第二个系统的日志，也帮忙看看吧 谢谢~

附件: 10382012008410141709.txt

第二个系统的日志看了，没问题。

你既然有第二个系统，为什么不就用第二个呢？？？

第一个为什么舍不得放弃？？？

你等会。

第一个系统日志问题较多.

下面是找出的一些.像是病毒的家伙...
如果要删的话.最好进入第二个系统(那个干净些)
里面有一些可能要进入第一个系统的注册表中删除.(这个也可以在第二个系统中打开那个注册表就可以进行删除了.)

<igzwzslm><C:\WINDOWS\gwsmhxuq.exe>  [N/A]
<LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <mfchlp32><C:\WINDOWS\mfchlp32.exe>  []



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]


[Atixeve2267 / Atixeve2267][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.137.tmp><N/A>
[Atixeve2436 / Atixeve2436][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.276.tmp><N/A>
[Atixeve2703 / Atixeve2703][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.563.tmp><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp27.tmp><N/A>
[R2A / R2A][Stopped/Disabled]
  <\??\C:\WINDOWS\system32a2.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1.tmp><N/A>


[C:\WINDOWS\system32\msepbe.dll]  [N/A, ]
    [C:\WINDOWS\system32\fehom.dll]  [N/A, ]
    [C:\WINDOWS\system32\hfjg.dll]  [N/A, ]
    [C:\WINDOWS\system32\rdthr.dll]  [N/A, ]
    [C:\WINDOWS\system32\crugd.dll]  [N/A, ]
    [C:\WINDOWS\system32\gjjte.dll]  [N/A, ]
    [C:\WINDOWS\system32\hgfhk.dll]  [N/A, ]
    [C:\WINDOWS\system32\rhs.dll]  [N/A, ]
    [C:\WINDOWS\system32\ijatnaw.dll]  [N/A, ]
    [C:\WINDOWS\system32\gjkhj.dll]  [N/A, ]
    [C:\WINDOWS\system32\jwlah.dll]  [N/A, ]
    [C:\WINDOWS\system32\lariytrz.dll]  [N/A, ]
    [C:\WINDOWS\system32\xdfntt.dll]  [N/A, ]
    [C:\WINDOWS\system32\gmnait.dll]  [N/A, ]
    [C:\WINDOWS\system32\chmfcmh.dll]  [N/A, ]
    [C:\WINDOWS\system32\ektvm.dll]  [N/A, ]
    [C:\WINDOWS\system32\hjaiq.dll]  [N/A, ]
    [C:\WINDOWS\system32\xgnfn.dll]  [N/A, ]
    [C:\WINDOWS\system32\oqrthc.dll]  [N/A, ]


下面这个像是被劫持了.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

HOSTS 文件要修复.

注意了，因为要进你的正常的第二个系统操作处理，然后再进第一个，这过程，有点绕人。
你一定看清楚了，逻辑顺序拿准了，呵呵！！！
————————————————————————————————————
作好所有操作所需要的下载工具的准备后，断网处理。

首先进第二个系统操作删除第一个系统里的病毒文件：

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
c:\windows\system32\chmfcmh.dll
c:\windows\system32\crugd.dll
c:\windows\system32\ektvm.dll
c:\windows\system32\fehom.dll
c:\windows\system32\gjjte.dll
c:\windows\system32\gjkhj.dll
c:\windows\system32\gmnait.dll
c:\windows\system32\hfjg.dll
c:\windows\system32\hgfhk.dll
c:\windows\system32\hjaiq.dll
c:\windows\system32\ijatnaw.dll
c:\windows\system32\jwlah.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\mfchlp32.dll
c:\windows\system32\msccrt.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\oqrthc.dll
c:\windows\system32\rdthr.dll
c:\windows\system32\rhs.dll
c:\windows\system32\xdfntt.dll
c:\windows\system32\xgnfn.dll
c:\windows\gwsmhxuq.exe
c:\windows\lotushlp.exe
c:\windows\msccrt.exe
c:\windows\mfchlp32.exe
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.137.tmp
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.276.tmp
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.563.tmp
c:\docume~1\admini~1\locals~1\temp\tmp27.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\rbjep.sys
c:\windows\system32a2.sys
c:\docume~1\admini~1\locals~1\temp\tmp1.tmp
——————————————————————————————————————————————
接着还是在这第二个系统里。
将你这D:\windows\explorer.exe文件复制到c:\windows\文件夹里替换掉第一个系统里的桌面程序explorer.exe
因为它已被病毒替换了。

————————————————————————————————————————————
这时你已经可以重启电脑，进你那第一个系统里了。

继续下面操作。
————————————————————————————————————
这贴里下载那个我在17楼提供的附件，解压后运行，删除检测到的所有映像劫持。
http://forum.ikaka.com/topic.asp?board=28&artid=8433210

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
[igzwzslm]    <C:\WINDOWS\gwsmhxuq.exe>
[LotusHlp]    <C:\WINDOWS\LotusHlp.exe>
[msccrt]    <C:\WINDOWS\msccrt.exe>
[mfchlp32]    <C:\WINDOWS\mfchlp32.exe>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将下面项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><wfhyt.dll,kghk.dll,lfsjgf.dll,stehs.dll,sthth.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,msepbe.dll,,msosmhfp00.dll>  [N/A]

就是将 <AppInit_DLLs><wfhyt.dll,kghk.dll,lfsjgf.dll,stehs.dll,sthth.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,msepbe.dll,,msosmhfp00.dll>  [N/A]
的“值”项编辑置空为：

  <AppInit_DLLs><>  [N/A]

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
[Atixeve2267 / Atixeve2267]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.137.tmp>
[Atixeve2436 / Atixeve2436]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.276.tmp>
[Atixeve2703 / Atixeve2703]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.563.tmp>
[mnsf / mnsf]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp27.tmp>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[rbjep / rbjep]    <\SystemRoot\\SystemRoot\System32\drivers\rbjep.sys>
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[mhfp / mhfp]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1.tmp>

————————————————————————————————————
再重启电脑，再进第一个系统，升级杀毒软件至最新版本全盘杀毒。

下载卡卡助手，清理你那系统。

记得打打系统漏洞补丁

清空IE缓存，清空临时文件夹。

这 里 下 载 W i n d o w s 清 理 助 手 ，清理你那系统。
http://www.arswp.com/

因为第一个系统存的东西比较多，平常都是在用第一个， 第二个基本没怎么用过。

我试试看~~

第一步我就出问题了, 在第二个系统里找不到那些要删除的文件...

在第二个系统里怎么找不到？？？？

你自己直接手工去找的？？？

还是费尔木马清除助手提示的？？？

我把要删除的项目 复制粘贴在 那里面
然后开始操作 显示 不存在文件

难道所有文件都不存在？？？？

如果显示已删除一部分

有几个不存在的，就不管了。

都不存在...

引用:

【trapnest的贴子】都不存在... ………………

你是复制这些的么？？？

c:\windows\system32\chmfcmh.dll
c:\windows\system32\crugd.dll
c:\windows\system32\ektvm.dll
c:\windows\system32\fehom.dll
c:\windows\system32\gjjte.dll
c:\windows\system32\gjkhj.dll
c:\windows\system32\gmnait.dll
c:\windows\system32\hfjg.dll
c:\windows\system32\hgfhk.dll
c:\windows\system32\hjaiq.dll
c:\windows\system32\ijatnaw.dll
c:\windows\system32\jwlah.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\mfchlp32.dll
c:\windows\system32\msccrt.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\oqrthc.dll
c:\windows\system32\rdthr.dll
c:\windows\system32\rhs.dll
c:\windows\system32\xdfntt.dll
c:\windows\system32\xgnfn.dll
c:\windows\gwsmhxuq.exe
c:\windows\lotushlp.exe
c:\windows\msccrt.exe
c:\windows\mfchlp32.exe
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.137.tmp
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.276.tmp
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.563.tmp
c:\docume~1\admini~1\locals~1\temp\tmp27.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\rbjep.sys
c:\windows\system32a2.sys
c:\docume~1\admini~1\locals~1\temp\tmp1.tmp

操作后都是这样的？？？



附件: 8390772008410154005.jpg

恩! 是的...

那你现在这样操作。

在你第二个系统里，用解压工具WinRAR依路径打开，找这些文件还在不在。

在就删除，不在就算了。

直接操作下面的。

也是断线操作么?

当然断了最好了。

尤其是那个桌面程序的替换是关键。

一定得替换

因为第一个系统里的病毒都是它下载来的。

现在正在用 瑞星杀毒软件 杀毒，
操作过程中遇上几个问题：
    用 机器狗&映像劫持修复工具 查杀劫持工具成功了。但是机器狗检测那个选项里还是显示 explore.exe 感染。
    [R2A / R2A] <\??\C:\WINDOWS\system32a2.sys> 删除未成功，说是已经删除，可是我重起后再刷新还是有这项
   
一会我查完毒后，再传上来日志好了

楼主的机子简直就是养马的草原啊.呵呵...........
这么多的木马,插件,估计就是修复好了,也不会如以前的系统那么稳定了.....

瑞星杀毒也有好多GameOL那个病毒

这个是都查杀后的日志 版主再帮我看看吧~~ 谢谢啦！

附件: 10382012008410173423.txt

养马。。。 唉唉。。

这Yahoo你真的那么喜欢用它吗？？？
去控制面板里卸了吧
——————————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将下面项目选择“编辑”，这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><0,ieprot.dll>  [N/A]

就是将  <AppInit_DLLs><0,ieprot.dll>  [N/A] 的“值”项编辑置空为：

<AppInit_DLLs><ieprot.dll>  [N/A]

取消那个0,  保留ieprot.dll  这是卡卡助手的。
————————————————————————————————————
下面这个已经可以区删除了。
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[R2A / R2A][Stopped/Disabled]
  <\??\C:\WINDOWS\system32a2.sys><N/A>

————————————————————————————————————
再重启电脑，

下载卡卡助手，清理你那系统。

记得打打系统漏洞补丁

清空IE缓存，清空临时文件夹。

这 里 下 载 W i n d o w s 清 理 助 手 ，清理你那系统。
http://www.arswp.com/

如果系统无异常，就可以了。

日志看不出什么东西了。

[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>

仍然删除不了。。。 这个是病毒驱动么？？
抱歉帮我再看看吧 如果这个删不下去不碍事的话我就不弄它了~

你删除操作时，可能没看清楚跳出的提示吧？？？

不删也可以，它的启动方式已经是禁止的了。

用解压工具WinRAR依路径打开找C:\WINDOWS\system32a2.sys文件。
如果不在，就不删也没事。

其他没异常，就行了。

恩~ 没有那个文件了！
谢谢天月啊！ 
系统也查不到毒了！  哈

谢谢啦~~~

求助天月
我有一样的中毒症状，按你说的用xdelbox删过那些文件，并在注册表里也删了相应的项目，
然后升级瑞星，第一个问题出现了，不能直接升级，我只好在瑞星官网上输入ID和序列号升级；
升级后杀毒，才查了6%的文件，就出现了239个病毒，且有很多不能清除，只能选择清除染毒文件，
请问，这样正常吗

补充，我的现星监控（就是那个绿色的伞）无法开启啦

[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>

仍然删除不了。。。 这个是病毒驱动么？？
抱歉帮我再看看吧 如果这个删不下去不碍事的话我就不弄它了~
如果觉得这一项碍眼,用SRE2.5删除它吧.
操作方法:
启动SRE2.5->选择"启动项目"->点击最后一项"服务"->再选择"驱动程序"->找到[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>它->选择"删除服务"->再点击设置->出现操作对话框,选择"否"->重启电脑删除该项

【回复“trapnest”的帖子】所有应用程序使用正常,应该不会有什么问题.小绿伞无法打开,杀完毒,请用卡卡修复一下系统,在无毒的情况下,小绿伞还是无法开户,请重装杀毒.

麻烦还是再看下吧~  今天杀毒仍然还是有Trojan.PSW.Win32.GameOL.mjf  Trojan.PSW.Win32.GameOL.muy  Packer.Win32.Upack.b  这三种病毒。。。

附件: 10382012008411232035.txt