瑞星卡卡安全论坛
lostway - 2008-5-5 15:22:00
ADWARE.WIN32.AGENT.GEN这个病毒已经让我忙活3天了,还是弄不掉呀.按照版主前面给的方法,用SRENG把程序和服务该删的都删了,但是后面这个病毒一直没办法去掉呀.用另外一位大狮子给的费尔木马强力清除助手也杀不掉,开机后还是会出现.快崩溃了.求版主给个新的办法.
附上上次日志和今天最新日志:1为前天的,2为今天的.
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)附件:
SREngLOG1.log 附件:
SREngLOG2.log
天月来了 - 2008-5-5 15:32:00
详细病毒文件名和路径
日不懂啊 - 2008-5-5 15:33:00
路径是什么?
天月来了 - 2008-5-5 15:36:00
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[xmfz644 / xmfz644y][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\xmfz644y.sys><N/A>
————————————————————————————————————
再重启电脑,反复检查,操作相关,
————————————————————————————————————
再重启电脑,
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:
http://www.qispace.com.cn/attachment.php?fid=34用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:
http://www.arswp.com/升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手,清理你那系统。
记得打打系统漏洞补丁
lostway - 2008-5-5 15:44:00
C:\WINDOWS\System32\DRIVERS\xmfz644y.sys
病毒名称和路径就是这个东西了
lostway - 2008-5-5 15:47:00
我启动SRENG的时候,直接提示我注册表值AppInit_DLLS被修改为非正常值(默认值为空),请检查你系统中可能存在的计算机病毒是怎么解决?
天月来了 - 2008-5-5 15:54:00
那个是卡卡助手导致
不管它了
lostway - 2008-5-5 16:04:00
用SRENG找,驱动程序下面已经找不到那个程序了,但是瑞星扫面的时候又扫到了呀......怎么弄?开机的时候提示我WINDOWS里面的一个DLL文件拒绝被访问,有影响吗?
日不懂啊 - 2008-5-5 16:09:00
是什么文件拒绝访问?
lostway - 2008-5-5 16:16:00
加载C:\WINDOWS\SYSTEM32\hru10x7yy.dll时出错拒绝访问.
下面的图是我打开SRENG就提示我的一个图,说有几个预期值不一样,麻烦看一下有影响没,我刚重启过,那个驱动程序又出现了.我这次把他的启动方式改成DISABLE试试.我重启了再上.
竟然不支持上传画图附件.我打出来吧:
SRENG提示下面的函数与预期值不符,他们可能被一些恶意的软件所修改:
入口点错误:NTCreatFile
入口点错误:NTWriteFile
入口点错误:ZwCreatFile
入口点错误:ZwWriteFile
lostway - 2008-5-5 16:16:00
还有系统修复里面有几个文件关联显示的是错误而不是正常,有影响吗?
lostway - 2008-5-5 16:18:00
饿的神呀,我还没重启,重新打开了下SRENG,去程序那看了一下,那个病毒又自动变成BOOT START了,咋办?重启还是继续改成DISABLE?
lostway - 2008-5-5 16:20:00
改成DISABLE然后只要SRENG关闭后再启动,那个东西又变成BOOT START了,重启机器没有什么意义了吧?
天月来了 - 2008-5-5 16:30:00
你到底怎么了???
要你操作,你就操作,而且要看清楚操作时跳出的每步提示。
要你重启就重启,不要做任何我说的操作外的东西。
你实在想折腾软件玩,也等病毒清理以后,再去玩噢
lostway - 2008-5-5 17:08:00
把启动类型改成DISABLE后重启电脑,然后再启动SRENG,那驱动程序仍然生龙活虎的在呀,而且启动类型仍然是BOOT START....
版主救救我呀,要崩溃了
天月来了 - 2008-5-5 17:13:00
这里官网下载冰刃,在“文件”中找下面文件强制删除:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip删除:
C:\WINDOWS\System32\DRIVERS\xmfz644y.sys
还有注册表里搜索关于xmfz644y.sys的所有项目。用冰刃删除。
lostway - 2008-5-5 17:49:00
哎,无奈了,冰刃里面注册表里面搜索到的带xmfz644y的文件和文件夹全部删除,文件里面的带xmfz644y的也全部删除,重启后的结果又是一样的,他还是在那个地方原封不动呀...版主:default46:
lostway - 2008-5-5 18:11:00
注册表都删除了,没有问题,发现问题是文件删除不掉,强制删除也没有作用,文件删除不掉
天月来了 - 2008-5-5 18:16:00
安全模式下不可能删除不了那文件的。:default2:
�火影忍者 - 2008-5-5 18:16:00
再扫个日志上来看看
入口点错误是卡卡助手引起的,没事
lostway - 2008-5-5 18:31:00
这个是新扫的日志,版主看一下
附件:
SREngLOG3.log
lostway - 2008-5-5 18:32:00
是不是要到安全模式下去查杀?刚才的操作都是在普通模式下
�火影忍者 - 2008-5-5 18:40:00
[xmfz644 / xmfz644y][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\xmfz644y.sys><N/A>这个还在,
下载windows清理助手清理下
http://www.arswp.com/download.html
lostway - 2008-5-5 18:47:00
现在打开冰刃,注册表里面又出现那个病毒的名字了.
分别是HEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XMFZ644Y
HEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WZCSVC\XMFZ644Y
HEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XMFZ644Y
HEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WZCSVC\XMFZ644Y
HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XMFZ644Y
HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC\XMFZ644Y
是6个文件夹,我在注册表里面把这6个文件夹全部删除了.但是文件里面那个XMFZ644Y.SYS文件删除不掉.强制删除后还在
lostway - 2008-5-5 18:48:00
前面那个版主提供的几个软件我都下载并且使用了
lostway - 2008-5-5 18:49:00
清理临时文件工具ATF-Cleaner-cn清理过一次,再下载了WINDOWS清理助手清理了一次,找到了11个清理对象和3个卸载程序,也都执行了.
�火影忍者 - 2008-5-5 19:04:00
lostway - 2008-5-7 15:11:00
版主我又来啦,前几天就搞这个病毒没把活干完,昨天赶了一下工作,没来得及管这个病毒,今天用版主提供的上面这个XP什么的软件清除,输入路径提示是找不到该文件....怎么办呀?
路径是C:\WINDOWS\system32\drivers\xmfz644y.
天月来了 - 2008-5-7 15:16:00
XDelBox1.7打开Xdelbox,直接在下面大窗口的空白处,使用右键菜单的“剪贴板导入不检查路径”导入,然后选择右键菜单的“立刻重启删除”记得勾起抑制文件再生。
天月来了 - 2008-5-7 15:19:00
你应该用瑞星的主动防御禁止该文件的读取、修改、删除、启动、访问等。
C:\WINDOWS\system32\drivers\xmfz644y.SYS
然后再重启电脑,看结果怎样,没异常再去尝试粉碎该文件。
1
© 2000 - 2026 Rising Corp. Ltd.