瑞星卡卡安全论坛

起初可能是下载一个PDF文件，中了病毒，感染了所有的EXE执行文件，现在QQ不能用了，卸载也卸不掉，上网速度很慢，总跳出些别的网站，还有关机的时候，总说有Run的文件正在运行，必须立即结束才能关掉机，下面是我的扫描结果，在线等待。。谢谢了...................................:default5:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WPS)

附件: 新建 文本文档.txt

用瑞星卡卡清除恶意插件。 进程里结束掉D57C1.EXE
WININI.EXE
然后按照下面的说明做下，如果瑞星已经升级到最新还是杀不出来的花。把
c:\windows\system32\d57c1.exe
c:\windows\system32\141.dll
c:\windows\system32\4d51.dll

c:\windows\system32\drivers\9emc0p1nd.sys
c:\windows\system32\drivers\y53c6b16a.sys
c:\windows\system32\drivers\m2ayhb5.sys
提取出来压缩上传上来，或者给瑞星提交样本。

使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\d57c1.exe
c:\windows\system32\141.dll
c:\windows\system32\4d51.dll
c:\windows\system32\xsaeikcmat.dll
c:\windows\system32\drivers\9emc0p1nd.sys
c:\windows\system32\drivers\y53c6b16a.sys
c:\windows\system32\drivers\m2ayhb5.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[ms_2fax / ms_2fax]    <C:\WINDOWS\system32\d57c1.exe>
[ms_2fax / ms_2fax]    <C:\WINDOWS\system32\d57c1.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[9emc0p1n / 9emc0p1nd]    <\SystemRoot\System32\DRIVERS\9emc0p1nd.sys>
[y53c6b16 / y53c6b16a]    <\SystemRoot\System32\DRIVERS\y53c6b16a.sys>
[m2ayhb5 / m2ayhb5]    <\SystemRoot\system32\drivers\m2ayhb5.sys>

    系统修复－－　浏览器加载项之如下项删除：
[Invoke Class]    <C:\WINDOWS\system32\4d51.dll>
[]    <C:\WINDOWS\system32\xsaeikcmat.dll>
[]    <C:\WINDOWS\system32\xsaeikcmat.dll>

xxxxxxxxxxxx**以上分析报告由SREngLog分析助手提供xxxxxxxxxxxxxxxxxx
分析：TK
时间：2008-4-29
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)


自动清理方案操作步骤：

1。下载通用病毒杀灭机正式版(点击下载)，请先参考软件帮助说明。

2。复制符号区域的修复指令或者下载附件中的修复指令文件*.dat 。

  ========指令正文，复制以下内容========

[复制到剪贴板]

CODE:

复制指令区

========指令结束，复制以上内容========

3。打开通用病毒杀灭机（打不开的建议改名，如abc.exe，abc.bat等），复制修复指令者使用剪贴板导入；下载修复指令文件的使用文件导入
    重启即可删除病毒，并帮助你删除自启动项和禁用服务。

（注：第一次重启有时候会弹出文件夹，那是由于自启动项目还没有删除，而文件已经被XDELBOX删除并用文件夹替代的结果）

谢谢了，不过这个方法行吗？我要照你的做了！
你是高手吗？呵呵，看你的注册时间是4月23号才注册的

我不是高手。最近才来玩玩。

但自我感觉不会100%能清除。可能也有遗漏，但自信多少还能有点用哈哈哈。好用了回个信自我欣赏下。不好用就只能自我检讨了。

谢谢了，不过那个  通用病毒杀灭机  中要输入的指令是什么？怎么弄？
我看不大懂，要输入的修复指令是什么？

用SREng修复吧，下面那个是分析助手自己生成的，最近来论坛有些工具准备的不充分。没来得及改下以后些的尽量详细点呵呵。病毒是清除了还是没有啊。我比较关心这个

等一下， 我用瑞星查一下，好象是没了，速度快多了，等会我查好了告诉你哦。

还有病毒，不过比以前少些了。瑞星查出来有11个病毒，不过我看只是文件路径不一样，其实只有3种病毒，病毒名称为：
Adware.Win32.Cinmus.cgg
Suspicious.RootKit.Win32.Obsure.a
RootKit.Win32.Mie.a
感染文件为：
DoSSSetup.dll
acpidisk.sys
mxdispdr.sys
下面是扫描的结果

扫描的结果

附件: 新建 文本文档.txt

查杀的结果是  解压缩后杀毒

我在研究研究等会呵呵。

好的，麻烦了。呵呵:default7:

DoSSSetup.dll
acpidisk.sys
mxdispdr.sys
这几个文件的路径。另外他提示清除了吗？是在扫描文件的时候发现的还是在内存中发现的。

新的日志中没有发现明显的问题。能力有限呵呵。
我感觉应该是清除了，扫出来的是硬盘里没有删掉的病毒残留，应该不会在杀出来了。你可以针对他所在的目录单独扫描下看看，或者下载个冰刃，重新启动下打开冰刃观察下启动进程的过程看看有没有异常的。

是在瑞星扫描文件的时候发现的，杀毒结构就是 解压缩后杀毒，没说有没有杀成功。我现在打开电子书，有的还打不开，QQ和讯雷都还不能用，QQ卸载也卸不掉

把瑞星的日志提交上来看看。
电子书打不开是什么扩展名的电子书啊，还是你现在正看的反 动教材啊。QQ直接下载个新的把QQ目录删掉重新安装就应该行。迅雷你修复安装下看看。

PDF扩展名的电子书可以打开，而EXE为扩展名的电子书不能打开。 那个瑞星的日志怎么传啊？

只能传这样的

等下我看看远程企业版的日志怎么提，我自己机器不好意思不是瑞星的杀软哈哈。

我提出来的是XLS格式的，不能传上来

打开瑞星，选操作 - 历史记录 -选病毒日志 -选扫描日志 然后选下面的导出。
选所有病毒导出。

压缩成RAR

这是查杀的所有病毒

附件: rizhi.txt

你系统时间现在是多少，怎么没有。

什么系统时间？

选所有病毒然后导出
打开瑞星，选操作 - 历史记录 -选病毒日志 -选扫描日志 然后选下面的导出。
选所有病毒导出。

历史记录里面没有病毒日志，更没有扫描日志

历史记录下面有4个子目录：扫描记录。监控记录，主动防御记录，自我保护，没有病毒日志啊

你重新启动后在扫描刚才提示有病毒的日志看看还有没有了。
.EXE的电子书打不开的。如果知道哪下载的告诉我，我看看是什么阅读器。有可能是.HTML文件损坏或者好像系统有个帮助文件.HLP吧的服务还是程序来的，也会影响到电子书，具体的要具体看看，我也不好说。呵呵。