QQ的木马病毒杀不掉，而且瑞星杀毒软件不能全部杀毒，求助高手！！！！ bbs.ikaka.com

shirley0scc - 2008-4-15 22:33:00

QQ的木马病毒杀不掉，而且瑞星杀毒软件不能全部杀毒，用QQ医生杀毒总是显示win32.downloader.rvdog.f盗号木马文件，文件路径为c:\windows\svchost.exe 这个文件无法删除，开机还会出现，这是最后的日志，麻烦高手帮忙看一下，谢谢啦！！！！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

附件: 10356512008415222142.txt

sako - 2008-4-16 6:21:00

以下操作一定要拔掉网线，在安全模式下进行，清除时请不要连接任何可移动介质（u盘等）

首先下载Xdelbox这个软件下载地址http://www.dodudou.com/down/里面的原创软件文件夹下
下载后
解压所有文件到一个文件夹
在添加旁边的框中分别输入
C:\WINDOWS\jgylri.exe
C:\WINDOWS\mfchlp32.exe
C:\WINDOWS\mfchlp32.exe
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\ttNNBNNB1049.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\fedadh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\zgxfdx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\75D23BE4.EXE
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zgxfdx.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\fedadh.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\etivvb.dll

输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中
然后一次性选中（按住ctrl)下面大框中所有的文件
右键单击点击重启立即删除
重启计算机以后会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后病毒就被删除了
之后他会自动重启进入正常模式

可能有重复
看清楚输入既可

sako - 2008-4-16 6:22:00

重新启动后

用sreng删除下列启动项目

<igzwzslm><C:\WINDOWS\jgylri.exe> [N/A]
<mfchlp32><C:\WINDOWS\mfchlp32.exe> []
<mfchlp32><C:\WINDOWS\mfchlp32.exe> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{1ce220d3-84bb-446c-8a39-6ed491c8a601}><ttNNBNNB1049.dll> [N/A]
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> [N/A]
<{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll> []
<{27D89EDA-2197-4DFC-B3DC-AF22C6CA23BB}><C:\WINDOWS\system32\fedadh.dll> []
<{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll> []
<{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll> []
<{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}><C:\WINDOWS\system32\zgxfdx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []

删除下列服务

[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\75D23BE4.EXE -d><>

此驱动极为可疑
我去找了很多，基本上都是认为此文件是病毒删除掉了

建议lz
[HBKernel Driver / HBKernel][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\HBKernel.sys><N/A>

此驱动禁用，我不是很确定，高手看看

sako - 2008-4-16 6:22:00

最后
照旧
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹：
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
C:\WINDOWS\TEMP

sako - 2008-4-16 6:25:00

修复杀毒软件

或者卸载了重新安装

搞定后安全模式下全盘查杀

建议卸载此插件
<SCRNSAVE.EXE><C:\WINDOWS\system32\夜光时钟.SCR> []
<XDeskWeather><C:\Program Files\鱼鱼软件\桌面天气秀\XDeskWeather.exe> [N/A]

觉得不安全

搞定，有问题qq找我

shirley0scc - 2008-4-21 21:54:00

问题还是没有解决，你让我用Xdelbox删除这些文件：
C:\WINDOWS\jgylri.exe
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\ttNNBNNB1049.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\fedadh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\zgxfdx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\75D23BE4.EXE
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zgxfdx.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\fedadh.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\mfdesy.dll
那个软件提示“没有这些文件”，自然也没有办法删除。
让我删除下列服务：
[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\75D23BE4.EXE -d><>
系统中也没有。
win32.downloader.rvdog.f盗号木马文件还是存在，文件路径为c:\windows\svchost.exe 这个文件无法删除。
这是最后的日志，再帮我看看！急

附件: 10356512008421214238.txt

豪斯登堡新郎 - 2008-4-21 23:42:00

很重要的一步先复制c:\windows\system32\dllcache\explorer.exe文件粘贴到c:\windows\路径下否则重起后没桌面

1.用XDelBox勾选抑制再生后删除以下文件：(http://www.dodudou.com/down/index.php 原创软件中的XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径<<<注意该选项：从剪贴板导入不检查路径>>>，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\svchost.exe
c:\progra~1\tencent\ssplus\splus1.dll
c:\windows\system32\explorer.exe
c:\windows\system32\hbkrnl.dll
c:\program files\ocins\idnsvr.exe
c:\progra~1\tencent\ssplus\splus1.dll
c:\program files\ieup\inetsvr.exe
c:\windows\system32\drivers\hzsksod.sys
c:\windows\system32\drivers\hbkernel.sys
c:\windows\system32\drivers\cnprov.sys
c:\windows\system32\drivers\idnaux.sys
c:\windows\system32\txgyuploader.dll
c:\windows\system32\ssup.dll
c:\progra~1\ocins\ieaux.dll
c:\windows\system32\fmo.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[HB Kernel]
[IdnSvr]
[stup.exe]
[ieup]

启动项目－－服务－－驱动程序之如下项删除：
[hzsksod / hzsksod]
[HBKernel Driver / HBKernel]
[cnprov / cnprov]
[idnaux / idnaux]

系统修复－－　浏览器加载项之如下项删除：
[UploadFilePartition Class] <C:\WINDOWS\system32\TXGYUploader.dll>
[] <C:\WINDOWS\system32\SSup.dll>
[] <C:\WINDOWS\system32\SSup.dll>
[IEAux Class] <C:\PROGRA~1\OCINS\ieaux.dll>
[IEAux Class] <C:\PROGRA~1\OCINS\ieaux.dll>
[ScreenCapture Class] <C:\WINDOWS\system32\FMO.dll>

做完后按以下方法清理一次建议把百度搜霸雅虎相关软件和中文上网残留全部清理掉

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

瑞星卡卡安全论坛