瑞星卡卡安全论坛

在我正常上QQ是，突然QQ医生检测到木马病毒，叫我重启杀毒，可是重启之后，所有的杀毒软件多不能打开了，瑞星的也无法打开，请高手指教指教啊，很急很急啊，救救啊！安全模式进去，也不能打开杀毒软件，怎么办啊？

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7)

扫SRENG日志发到论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式xxx坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

你可以打开日志后，在左上角的“编辑”里选择“全选”再选择“复制”
就可以彻底复制日志内容到另一个空记事本保存了

接下来怎么办啊？

附件: SREngLOG.log

好了吗？

以下操作一定要拔掉网线，在安全模式下进行，运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

Xdelbox工具 下载：http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的

下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\192896M.exe
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\ttEZZEZZ1046.dll
C:\WINDOWS\system32\ttDABDAB1064.dll
C:\WINDOWS\system32\dqCBDCBD1051.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\ttBAIBAI1061.dll
C:\WINDOWS\system32\dqQACQAC1041.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\wyrsdj.dll
C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\dqFKKFKK1062.dll
C:\WINDOWS\Hacker.com.cn.exe
C:\WINDOWS\system32\serve.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\DOCUME~1\WEILON~1\LOCALS~1\Temp\tmp4A.tmp
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\System32\DRIVERS\puqn0i.sys
C:\WINDOWS\system32\drivers\tucjk.sys
C:\WINDOWS\system32\sehhter.dll
C:\WINDOWS\system32\xdhdg.dll
C:\WINDOWS\system32\crugd.dll
C:\WINDOWS\system32\sperls.dll
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 （按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

谢谢，我试试！

重起后用sreng删除下列启动项目

<WinSysM><C:\WINDOWS\192896M.exe>  [N/A]
  <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{05922c2d-da84-48e8-a3e4-e797c58c39cf}><C:\WINDOWS\system32\ttEZZEZZ1046.dll>  [N/A]
    <{a238a8b2-ba89-4889-8572-7cab00ab56f5}><C:\WINDOWS\system32\ttDABDAB1064.dll>  [N/A]
    <{9bfcef7a-d26e-4a7f-9495-7952badca451}><C:\WINDOWS\system32\dqCBDCBD1051.dll>  [N/A]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{23323f58-17d8-4fed-8148-b666cde959ca}><C:\WINDOWS\system32\ttBAIBAI1061.dll>  [N/A]
    <{1f102fa9-e182-41f3-937b-b5418bfc43e4}><C:\WINDOWS\system32\dqQACQAC1041.dll>  [N/A]
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  []
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll>  []
    <{54e916fc-fd9c-41a8-95e7-6ef0e35ec243}><C:\WINDOWS\system32\dqFKKFKK1062.dll>  [N/A]


用sreng删除下列服务
[System / System][Stopped/Auto Start]
  <C:\WINDOWS\Hacker.com.cn.exe><N/A>
[CurrentControlSetion / Win32RegEdit][Stopped/Auto Start]
  <C:\WINDOWS\system32\serve.exe><N/A>


删除下列驱动
[acpidisk / acpidisk][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[fpids32 / fpids32][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\WEILON~1\LOCALS~1\Temp\tmp4A.tmp><N/A>
[msfpfis64 / msfpfis64][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[oreans32 / oreans32][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
[puqn0 / puqn0i][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\puqn0i.sys><N/A>
[tucjk / tucjk][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\tucjk.sys><N/A>

关键的两步

1  用sreng将下列启动项目键值为空
<AppInit_DLLs>
估计打开sreng会高亮显示，也会报问题

将其原有的值全部删除
记住，只是值，不是启动项目！删除值，

搞定后应该是这个样子
<AppInit_DLLs>[ ]
或者
<AppInit_DLLs>[N/A]


2  用这个工具清理IFEO劫持项目
解压后使用

附件: 劫持修复.rar

这贴里下载那个我在28楼提供的附件，解压后运行，删除检测到的所有映像劫持。
http://bbs.ikaka.com/showtopic-8442813.aspx


在扫日志的SRENG工具编辑<AppInit_DLLs> 的“值”项时,你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。

斑竹帮我去看看这个啊

http://bbs.ikaka.com/showtopic-8501019.aspx

嘻嘻嘻，速度慢了，不小心按了回复，所以没传工具

我传的和天月哥传得一样，直接下载本贴的就行

最后清理工作
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar


清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹：
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
C:\WINDOWS\TEMP

到安全模式下全盘查杀

建议再扫个日志上来看看有无遗漏

还有，报下可疑的ＤＤ
大家看看
很可疑：　
特殊特权被允许： SeDebugPrivilege [PID = 256, C:\DOCUMENTS AND SETTINGS\WEILONG_2\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\I5IO205Q\VIRUSKILLER[1].COM]
特殊特权被允许： SeLoadDriverPrivilege [PID = 256, C:\DOCUMENTS AND SETTINGS\WEILONG_2\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\I5IO205Q\VIRUSKILLER[1].COM]

<Tlist><regsvr32 /s abskey.dll>  [N/A]

下面这个理解下ＭＳ是个检查什么ＤＤ的工具
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]
呵呵，这个应该没什么事情，上面报的三项大家看看

那SeDebugPrivilege [PID = 256, C:\DOCUMENTS AND SETTINGS\WEILONG_2\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\I5IO205Q\VIRUSKILLER[1].COM]
特殊特权被允许： SeLoadDriverPrivilege [PID = 256, C:\DOCUMENTS AND SETTINGS\WEILONG_2\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\I5IO205Q\VIRUSKILLER[1].COM]
有问题，确定了，清理了临时文件就可以解决

另外一个，不清楚了，偶去看看