中了病毒群，怎么杀都不行，急急急 bbs.ikaka.com

人在逍遥 - 2008-5-2 23:40:00

先下载工具：
windows清理助手下载：http://www.arswp.com/download.html
XDelBox下载：http://www.dodudou.com/down/ 打开后选择【原创软件】，下载

XDelBox1.6。
———————————————————————————————————

————
务必断开网络链接后再进行以下操作；
———————————————————————————————————

————
改正系统日期时间；
———————————————————————————————————

————
使用XDelBox删除以下文件：
先将系统分区下的重要文件转移到其它分区，以免系统删除文件后系统崩溃增加

文件备份的难度。
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然

后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制

再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重

启删除”。
———————————————————————————————————

————
c:\windows\system32\94879a32.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\cdfview.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\sgrefg.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\wfrdvq.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\zgxfdx.dll
c:\windows\system32\zjydcx.dll
c:\windows\system32\anistio.dll
c:\windows\system32\bincdwsa.dll
c:\windows\system32\dndsioc.dll
c:\windows\system32\fiosectc.dll
c:\windows\system32\fmsbbqi.dll
c:\windows\system32\fmsjhif.dll
c:\windows\system32\ttdxydxy1014.dll
c:\windows\system32\tthadhad1071.dll
c:\windows\system32\ttnnbnnb1056.dll
c:\windows\temp\datb.tmp
c:\windows\system32\msosping00.dll
c:\windows\system32\mfchlp64.dll
c:\windows\system32\hfrdzx.dll
c:\windows\system32\jdsaex.dll
msosmhfp00.dll syswowa8.dll,msosdohs00.dll
"e:\download\killer_rodog.exe" -runonce
c:\windows\fmsjhif.exe
c:\windows\bincdwsa.exe
c:\windows\anistio.exe
c:\windows\fiosectc.exe
c:\windows\system32\8a4cd76b.exe -d
c:\windows\temp\tmp10.tmp
c:\windows\temp\tmp9.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\pptchpd5.sys
c:\windows\system32\drivers\d343port.sys
c:\windows\system32\drivers\d343bus.sys

———————————————————————————————————

————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它

自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————

————
打开SREngPS.EXE，2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}] <C:\WINDOWS\system32\hfrdzx.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll>
[{a580305f-b902-4723-ac26-06e4cb4279a5}] <C:\WINDOWS\system32\ttHADHAD1071.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zjydcx.dll>
[{3cc67dc4-e953-4b2f-ae22-fcb4dcc3903a}] <C:\WINDOWS\system32\ttNNBNNB1056.dll>
[{7FA4A83B-F99A-4bfc-A8E2-6A62B05D2C82}] <C:\WINDOWS\TEMP\datB.tmp>
[{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}] <C:\WINDOWS\system32\zgxfdx.dll>
[{5fd0c12b-da0b-4446-82fd-b8041a46492b}] <C:\WINDOWS\system32\ttDXYDXY1014.dll>
[{6BBAA1E6-CF54-4139-AB9C-8491A9F909D7}] <C:\WINDOWS\system32\wfrdvq.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgrefg.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] <C:\WINDOWS\system32\tdffdl.dll>
[{DC3D30AE-0380-4151-8934-EE98A34B0370}] <C:\WINDOWS\system32\mfdesy.dll>
注意该项[AppInit_DLLs]修改：把<msosmhfp00.dll SysWoWa8.dll,msosdohs00.dll>修改为<>即清空
[360safeKill] <"E:\Download\killer_rodog.exe" -runonce>
[fmsjhif] <C:\WINDOWS\fmsjhif.exe>
[bincdwsa] <C:\WINDOWS\bincdwsa.exe>
[anistio] <C:\WINDOWS\anistio.exE>
[fiosectc] <C:\WINDOWS\fiosectc.exe>
[run] <>

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[E01FA41F / E01FA41F] <C:\WINDOWS\system32\8A4CD76B.EXE -d>

启动项目－－服务－－驱动程序之如下项禁用：
[ping / ping] <\??\C:\WINDOWS\TEMP\tmp10.tmp>
[dohs / dohs] <\??\C:\WINDOWS\TEMP\tmp9.tmp>
[msfpfis64 / msfpfis64] <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[RodogKiller / RodogKiller] <>
[RodogKiller / RodogKiller] <>
[PenPower Touchpad / pptchpad] <System32\DRIVERS\pptchpd5.sys>
[d343port / d343port] <\SystemRoot\system32\DRIVERS\d343port.sys>
[d343bus / d343bus] <\SystemRoot\system32\DRIVERS\d343bus.sys>

———————————————————————————————————

————
使用刚下载的“Windows清理助手”清理你的系统。

豪斯登堡新郎 - 2008-5-2 23:45:00

下载雨林木风PE安装包http://search-soft.ylmf.com/download.php?sid=882&did=1034 先进行安装以防止勿操作删除系统文件无法进入系统时的修复

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\94879a32.dll
c:\windows\system32\msosdohs00.dll
c:\windows\temp\datb.tmp
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\sgrefg.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\wfrdvq.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\zgxfdx.dll
c:\windows\system32\zjydcx.dll
c:\windows\system32\anistio.dll
c:\windows\system32\bincdwsa.dll
c:\windows\system32\dndsioc.dll
c:\windows\system32\fiosectc.dll
c:\windows\system32\fmsbbqi.dll
c:\windows\system32\fmsjhif.dll
c:\windows\system32\ttdxydxy1014.dll
c:\windows\system32\tthadhad1071.dll
c:\windows\system32\ttnnbnnb1056.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\mfchlp64.dll
c:\windows\system32\hfrdzx.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\syswowa8.dll
c:\windows\system32\msosmhfp00.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosmhfp01.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosmhfp02.dll
c:\windows\system32\msosdohs02.dll
c:\windows\fmsjhif.exe
c:\windows\bincdwsa.exe
c:\windows\anistio.exe
c:\windows\fiosectc.exe
c:\windows\system32\8a4cd76b.exe
c:\windows\temp\tmp10.tmp
c:\windows\temp\tmp9.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\msconkt.sys
c:\windows\system32\drivers\arc.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}]
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}]
[{7914E0AA-ECCB-4311-B584-C49538227824}]
[{a580305f-b902-4723-ac26-06e4cb4279a5}]
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]
[{3cc67dc4-e953-4b2f-ae22-fcb4dcc3903a}]
[{7FA4A83B-F99A-4bfc-A8E2-6A62B05D2C82}]
[{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}]
[{5fd0c12b-da0b-4446-82fd-b8041a46492b}]
[{6BBAA1E6-CF54-4139-AB9C-8491A9F909D7}]
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]
[{DC3D30AE-0380-4151-8934-EE98A34B0370}]
注意该项[AppInit_DLLs]修改：把<msosmhfp00.dll SysWoWa8.dll,msosdohs00.dll>修改为<>即清空
[fmsjhif]
[bincdwsa]
[anistio]
[fiosectc]

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[E01FA41F / E01FA41F]
[jyfepvm / cprsdmh]

启动项目－－服务－－驱动程序之如下项删除：
[ping / ping]
[dohs / dohs]
[msfpfis64 / msfpfis64]
[RAS Asynchronous Media Driver / CCDECODE]
[arc / arc]

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

tokyo - 2008-5-2 23:48:00

http://down.7xdown.com/downzh/TonPE_V1.4.rar
打不开

人在逍遥 - 2008-5-2 23:49:00

提前吧文件备份好，防止删玩文件系统挂掉不启动了。

超级游戏迷 - 2008-5-3 0:05:00

请问楼主,你是否安装了杀软和防火墙?

豪斯登堡新郎 - 2008-5-3 0:11:00

http://search-soft.ylmf.com/download.php?sid=882&did=1034

这个地址可以下载

超级游戏迷 - 2008-5-3 0:19:00

建议：
1、立即购买正版的杀软及防火墙，安装，并注意每天升级到最新版本；
2、养成良好的上网习惯
3、不要以为有几个安全工具（360、卡卡、金山清理专家）就可以取代杀软及防火墙，如果你这么认为就大错特错了
4、开启自动更新，及时打好系统补丁；
5、如果不想安装杀软及防火墙，请在系统正常时做个GHOST，系统一旦出问题可以尝试恢复备份，但这也不一定安全。因此，安装杀软和防火墙非常必要，从现在开始起重视吧。

tokyo - 2008-5-3 0:59:00

好的

tokyo - 2008-5-3 1:00:00

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[E01FA41F / E01FA41F]
[jyfepvm / cprsdmh]

启动项目－－服务－－驱动程序之如下项删除：
[ping / ping]
[dohs / dohs]
[msfpfis64 / msfpfis64]
[RAS Asynchronous Media Driver / CCDECODE]
[arc / arc]

为什么这几个删不了

豪斯登堡新郎 - 2008-5-3 1:06:00

删除服务和驱动程序的时候请注意出现的提示

选“否”才是删除选“是”则是取消删除并且删除后要重起才能生效

sako - 2008-5-3 6:54:00

操作请参考下
SRENG的使用方法在：http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1(注意，删除服务和驱动最后一个对话框选择“否”）

原来的了
偶要去更新下了

tokyo - 2008-5-3 11:57:00

:default2: 以上问题尚未解决，按方法查杀后，不上网扫描不出任何异常，但一拨号又开始下载病毒了
其中以下几下在查杀过程中无法删除，求教

c:\windows\system32sqavpw0.dll
c:\windows\system32sqavpw0.dll
c:\windows\system32\cdfview.dll

目前日志如下：

附件: SREngLOG.log

豪斯登堡新郎 - 2008-5-3 12:42:00

请楼主分别将c:\windows\system32\cdfview.dll
和c:\windows\system32\dllcache\cdfview.dll两文件打包并标明路径后上传谢谢!

点击下载雨林木风PE安装包进行安装以防止误操作删除系统文件无法进入系统时的修复,并在安装完成后重起一次确认可以正常进入PE系统后继续以下操作。

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\20.exe
c:\windows\system32\94879a32.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosping00.dll
c:\program files\internet explorer\plugins\nt_sys32.sys
c:\windows\system32\hfrdzx.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\jhrcar.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\mxavpw0.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\sgrefg.dll
c:\windows\system32\sqavpw0.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tfsdmz.dll
c:\windows\system32\wfrdvq.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\zgxfdx.dll
c:\windows\system32\zjydcx.dll
c:\windows\system32\dndsioc.dll
c:\windows\system32\fiosectc.dll
c:\windows\system32\fmsbbqi.dll
c:\windows\system32\gpjeuq.dll
c:\windows\system32\kmwxtn.dll
c:\windows\system32\rllsux.dll
c:\windows\system32\ttnnbnnb1056.dll
c:\windows\system32\wkzile.dll
c:\windows\system32\yuiabct.dll
c:\windows\temp\datd.tmp
c:\windows\system32\tthadhad1071.dll
c:\windows\system32\ttdxydxy1014.dll
c:\windows\system32\msosmhfp00.dll
c:\windows\system32\syswowa8.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosping00.dll
c:\windows\yuiabct.exe
c:\windows\mfchlp64.exe
c:\windows\dndsioc.exe
c:\windows\fmsbbqi.exe
c:\windows\fmsjhif.exe
c:\windows\bincdwsa.exe
c:\windows\anistio.exe
c:\windows\fiosectc.exe
c:\windows\system32\8a4cd76b.exe -d
c:\windows\temp\tmpb.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\temp\tmp57.tmp

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{3E387664-C799-4D62-B196-25776EF35C51}]
[{875E07B1-0614-43D9-A76E-D76A28AB3D7B}]
[{C36ECF8F-EAD9-44BD-8DD0-C4240A06F51C}]
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}]
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}]
[{7914E0AA-ECCB-4311-B584-C49538227824}]
[{a580305f-b902-4723-ac26-06e4cb4279a5}]
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]
[{3cc67dc4-e953-4b2f-ae22-fcb4dcc3903a}]
[{7FA4A83B-F99A-4bfc-A8E2-6A62B05D2C82}]
[{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}]
[{5fd0c12b-da0b-4446-82fd-b8041a46492b}]
[{6BBAA1E6-CF54-4139-AB9C-8491A9F909D7}]
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]
[{DC3D30AE-0380-4151-8934-EE98A34B0370}]
注意该项[AppInit_DLLs]修改：把<msosmhfp00.dll SysWoWa8.dll,msosdohs01.dll,msosping00.dll>修改为<>即清空
[yuiabct]
[mfchlp64]
[dndsioc]
[fmsbbqi]
[fmsjhif]
[bincdwsa]
[anistio]
[fiosectc]

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[E01FA41F / E01FA41F]

启动项目－－服务－－驱动程序之如下项删除：
[dohs / dohs]
[msfpfis64 / msfpfis64]
[ping / ping]

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

以上所需软件全部先下载安装，然后断开网络进入安全模式操作。。。

另外：如超级游戏迷版主所说对于病毒防远重于杀。。。

瑞星卡卡安全论坛