瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求助:瑞星杀了100多病毒了.高手帮忙看看啊.
桃花先人 - 2008-5-2 23:10:00
今天突然开不了网页,一看瑞星监控没了,瑞星杀毒也打不开,后来连有些程序都打不开了.瑞星我强行重装后杀了100多病毒,郁闷啊.高手帮帮忙,怎么搞定啊,附件是SREng扫描报告.

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

附件: SREngLOG.log
人在逍遥 - 2008-5-2 23:19:00
下个机器狗专杀工具吧
人在逍遥 - 2008-5-2 23:19:00
用机器狗专杀杀玩毒重启在扫描日志上来看看
桃花先人 - 2008-5-2 23:22:00
恩,在杀了.
人在逍遥 - 2008-5-2 23:24:00
该毒最近很流行。
人在逍遥 - 2008-5-2 23:25:00
杀玩毒重新启动机器后,不要打开太多的东西,直接扫描日志,也不要关闭什么呵呵。然后提交。否则影响判断。
a68857110 - 2008-5-2 23:33:00
安全模式下杀
人在逍遥 - 2008-5-2 23:33:00
帅哥我12点就回家睡觉了。弄好了记得回复下噢88
sako - 2008-5-3 6:25:00
以下操作一定要拔掉网线,在安全模式下进行,运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

Xdelbox工具 下载:http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的

下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\fiosectc.exe
C:\WINDOWS\fmsjhif.exe
C:\WINDOWS\dbhlp32.exe
C:\WINDOWS\ticisms.exe
C:\WINDOWS\fmsbbqi.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\system32\ttSHYSHY1056.dll
C:\WINDOWS\system32\dqSADSAD1040.dll
C:\WINDOWS\system32\dqHADHAD1066.dll
C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys
C:\WINDOWS\system32\ttKAFKAF1074.dll
C:\WINDOWS\system32\ttDXYDXY1014.dll
C:\WINDOWS\system32\ttMYSMYS1053.dll
C:\WINDOWS\system32\oohxbbyt.dll
C:\WINDOWS\system32\dqQACQAC1041.dll
C:\WINDOWS\system32\drivers\fhzl.ahc
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\xgnfn.dll
C:\WINDOWS\system32\hfjg.dll
C:\WINDOWS\system32\oqrthc.dll
C:\WINDOWS\system32\ijatnaw.dll
C:\WINDOWS\system32\fjyjy.dll
C:\WINDOWS\system32\bjrvm.dll
C:\WINDOWS\system32\ektvm.dll
C:\WINDOWS\system32\crugd.dll
C:\WINDOWS\system32\lariytrz.dll
C:\WINDOWS\system32\fdght.dll
C:\WINDOWS\system32\sperls.dll
C:\WINDOWS\system32\msepbe.dll
C:\WINDOWS\system32\ttSHYSHY1056.dll
C:\WINDOWS\system32\dqSADSAD1040.dll
C:\WINDOWS\system32\dqHADHAD1066.dll
C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys
C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys
C:\WINDOWS\system32\ttKAFKAF1074.dll
C:\WINDOWS\system32\ttDXYDXY1014.dll
C:\WINDOWS\system32\ttMYSMYS1053.dll
C:\WINDOWS\system32\oohxbbyt.dll
C:\WINDOWS\system32\dqQACQAC1041.dll
C:\WINDOWS\system32\D3D9_32.DLL
C:\WINDOWS\system32\fiosectc.dll
C:\WINDOWS\system32\fmsjhif.dll
C:\WINDOWS\system32\dbhlp32.dlL
C:\WINDOWS\system32\ticisms.dll
C:\WINDOWS\system32\fmsbbqi.dll
C:\WINDOWS\system32\oqrthc.dll

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

因为病毒文件多,所以可能有重复,希望lz能见谅
sako - 2008-5-3 6:29:00
重起后 用sreng删除下列启动项目
  <fiosectc><C:\WINDOWS\fiosectc.exe>  []
    <fmsjhif><C:\WINDOWS\fmsjhif.exe>  []
    <dbhlp32><C:\WINDOWS\dbhlp32.exe>  []
    <ticisms><C:\WINDOWS\ticisms.exe>  []
    <fmsbbqi><C:\WINDOWS\fmsbbqi.exe>  []
  <MSDCG32    ><LYLeador.exe>  [N/A]
    <{2795a41a-41a3-46a6-8b43-876500e74240}><C:\WINDOWS\system32\ttSHYSHY1056.dll>  []
    <{d21ac220-ebb3-4110-9817-37aa0cce636b}><C:\WINDOWS\system32\dqSADSAD1040.dll>  []
    <{5f24d354-e8fd-410e-8f85-35351ccc9eda}><C:\WINDOWS\system32\dqHADHAD1066.dll>  []
    <{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>  []
    <{df14157d-3ce2-4d9b-b0cc-7f47e3e31fdb}><C:\WINDOWS\system32\ttKAFKAF1074.dll>  []
    <{5fd0c12b-da0b-4446-82fd-b8041a46492b}><C:\WINDOWS\system32\ttDXYDXY1014.dll>  []
    <{9947e423-193f-4fc4-b38d-e76fdd799150}><C:\WINDOWS\system32\ttMYSMYS1053.dll>  []
    <{3B1AEF69-DDAE-FDAD-DCAB-698F026ABDB3}><C:\WINDOWS\system32\oohxbbyt.dll>  []
    <{1f102fa9-e182-41f3-937b-b5418bfc43e4}><C:\WINDOWS\system32\dqQACQAC1041.dll>  []


用sreng删除下列驱动

[fhzl / fhzl][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\fhzl.ahc><N/A>
[msfpfis64 / msfpfis64][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>

将此驱动禁用
[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>
(这个MS是智能ABC的一个驱动,不怎么确定,禁用了)
sako - 2008-5-3 6:31:00
关键的两步

1 用sreng把下列启动项目键值为空

<AppInit_DLLs>
搞定后应该为
<AppInit_DLLs>[ ]
或者
<AppInit_DLLs>[N\A]
把里面的值全部删除即可,是值!不是启动项目,看清楚!


2 用下面提供的工具清理IFEO劫持项目
一定要清理

附件: 劫持修复.rar
sako - 2008-5-3 6:33:00
最后

重起至安全模式下

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://www.qispace.com.cn/attachment.php?fid=34

下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

一定要清理!在这之前不要打开任何其他的DD
然后更新杀毒软件,到安全模式下盘查杀
一定!

估计可能有些遗漏,建议再扫日志上来,谢谢
桃花先人 - 2008-5-3 8:39:00
我用机器狗杀毒后桌面没了,用任务管理器新建后说explorer不是WIN的有效程序不能新建,在C盘里找到了也打不开.安全模式也一样进不去
天月来了 - 2008-5-3 10:17:00
用任务管理器新建后说explorer不是WIN的有效程序不能新建,在C盘里找到了也打不开.安全模式也一样进不去

你到底怎么个用任务管理器新建???

去C:\WINDOWS\system32\dllcache文件夹里找explorer.exe文件,复制到C:\WINDOWS\文件夹里替换。

替换前先在任务管理器里结束explorer.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器,结束相关进程。
在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。

替换完重启电脑看怎样。
桃花先人 - 2008-5-3 21:30:00
我下了个桌面进程替换了原来的后好了,再进安全模式杀毒后,按sako大大说的下载了Xdelbox工具但那些要删除的已经没有了.而且sreng要删除的启动项也没有了,但启动项里提示AppInit_dlls被修改为非空的,我看了下有很多AppInit_dlls但基本都是没有值的我看是正常的,唯有一个数据为ieprot.dll的有116K大小.但选中修改他的值也是空白的,改不了.下面附上我刚扫描的Sreng和那ieprot.dll的截图.请大哥们帮忙看看拉.

附件: SREngLOG2.log

附件: 未命名.rar
桃花先人 - 2008-5-3 23:12:00
大哥们帮帮忙啊,我用金山清理专家扫描了就差这个ieprot.dll修复不了了.
aaccbbdd - 2008-5-3 23:20:00


引用:
原帖由 桃花先人 于 2008-5-3 23:12:00 发表
大哥们帮帮忙啊,我用金山清理专家扫描了就差这个ieprot.dll修复不了了.


卡卡上网助手的DD,安全的
不用管
sako - 2008-5-4 0:50:00
清除的还是不错
但是还有些残余


以下操作一定要拔掉网线,在安全模式下进行,运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

Xdelbox工具 下载:http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的

下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\system32\drivers\fhzl.ahc
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\DRIVERS\obj2.sys

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
sako - 2008-5-4 0:54:00
重起后

用sreng 清空 下列启动项目

注意,是清空!!!!
<AppInit_DLLs>
点击它,编辑,在 值 选项里面,把所有可以看到都删除
如果看不到任何东西,输入任意一个数字,看看,出现了删除所有的值
搞定后
<AppInit_DLLs>
搞定后应该为
<AppInit_DLLs>[ ]
或者
<AppInit_DLLs>[N\A]


用sreng删除下列驱动

[fhzl / fhzl][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\fhzl.ahc><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[obj2 / obj2][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\obj2.sys><N/A>


禁用此驱动
[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>
sako - 2008-5-4 0:55:00
电脑里面有中文上网插件

估计是被强制安装的

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://www.qispace.com.cn/attachment.php?fid=34
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar


使用360的CNNIC最新专杀,下载:http://dl.360safe.com/killer_cnnic.exe
sako - 2008-5-4 0:58:00
注意

我不是大大哦,大家一起学习哈,不分什么大大小小的

在清理appinit值前,建议你把卡卡先卸载掉,等清理后再安装
因为清理了里面的DD可能会导致卡卡异常

日志里看出来,那些值还在
桃花先人 - 2008-5-4 18:25:00
我卸载卡卡后appinit是正常了,但重装后又有了,我想可能象17楼说的那样是安全的吧?不过金山清理专家查出来是损坏的要修复.修复后查查还是有的.
sako - 2008-5-5 4:47:00


那就没事情了
卡卡的确导入了appinit,所以卸载后sreng没有再报,说明病毒导入的和卡卡导入的值都没了,已经空了

再装上卡卡就又会写入appinit,所以没事情了,也不用用清理专家弄了

把中文上网搞定了就ok
1
查看完整版本: 求助:瑞星杀了100多病毒了.高手帮忙看看啊.
© 2000 - 2026 Rising Corp. Ltd.