瑞星卡卡安全论坛

新装的机子，昨天没装防火墙就上了网，结果今天一开，几乎不会动了，刚用瑞星杀了300多个，还是不行，系统还是慢得要死，请帮忙看下，谢谢了。下面是扫描 日志

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

附件: SREngLOG.txt

N多程序没办法开了 晕 版主赶紧来帮忙呀

C:\WINDOWS\system32\drivers\WDelMgr20.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\1800.exe
system32\DRIVERS\ASACPI.sys
system32\drivers\Senfilt.sys
C:\WINDOWS\system32\drivers\wion.sys
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
[Nessery / Nessery]
C:\WINDOWS\system32\yrhmwdgnhkjxp.dll
另外下载autorun专杀，清除各盘下的autorun.inf
上面内容粗粗看了下

意思是把你所列出的全部删掉就可以了吗？

先下载工具：
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.7支持奥运版。
windows清理助手下载：http://www.arswp.com/download.html
清理临时文件工具ATF-Cleaner-cn下载：http://www.qispace.com.cn/attachment.php?fid=34
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用前一定拔掉所有移动存储设备，将下面红色文件列表内容完整复制，然后打开XDelBox，在“待删除文件列表”下方空白框处右键，选择“剪贴板导入不检查路径”，勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
C:\Documents and Settings\user\「开始」菜单\程序\启动\dflljy.exe
C:\WINDOWS\system32\drivers\wion.sys
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
C:\WINDOWS\system32\niqyzlsfku.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
C:\WINDOWS\system32\niqyzlsfku.dll
C:\WINDOWS\system32\yrhmwdgnhkjxp.dll
C:\WINDOWS\system32\drivers\WDelMgr20.exe
C:\WINDOWS\system32\1800.exe
C:\WINDOWS\system32\winini.exe
c:\net.exe
C:\WINDOWS\system\llsjy32.dll
C:\Autorun.inf
C:\auto.exe
D:\Autorun.inf
D:\auto.exe
E:\Autorun.inf
E:\auto.exe
F:\Autorun.inf
F:\auto.exe

———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【启动文件夹】，将以下项删除：
[dflljy]
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【WIND32服务应用程序】，将以下项删除：
[WDelMgr20 / WDelMgr20][Running/Auto Start]
[Windows Accounts Driver / windows_13][Running/Auto Start]
[COM+ Windows System / WinINI][Running/Auto Start]
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[wion / wion][Stopped/Manual Start]
[apcdli / apcdli][Running/Auto Start]
[Nessery / Nessery][Running/]
———————————————————————————————————————
打开SREngPS.EXE，选择【系统修复】-【浏览器加载项】，将以下项删除：
[Info cache]
  {385AB8C6-FB22-4D17-8834-064E2BA0A6F0}
[]
  {FB3412B6-6D67-4650-B3B4-C2A90191A80F}
[Info cache]
  {385AB8C6-FB22-4D17-8834-064E2BA0A6F0}
[]
  {FB3412B6-6D67-4650-B3B4-C2A90191A80F}
———————————————————————————————————————
重启电脑，运行“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
卸载杀软重装并升级到最新版本，断网后全盘查杀病毒。
———————————————————————————————————————
最后运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理；不能确定的，把图发上来。

点击下载雨林木风PE安装包进行安装以防止误操作删除系统文件无法进入系统时的修复,并在安装完成后重起一次确认可以正常进入PE系统后继续以下操作。


在这里下载大蜘蛛  所有下载的软件全部直接保存到c:\windows\system32\文件夹内

然后到http://bbs.ikaka.com/showtopic-8502115.aspx下载附件“费尔强力木马清除助手”  按照那里的方法安装PE，重起进入用“费尔强力木马清除助手”删除以下文件：

c:\net.exe
c:\windows\system32\1800.exe
C:\WINDOWS\system32\drivers\WDelMgr20.exe
c:\windows\system32\yrhmwdgnhkjxp.dll
c:\windows\system32\winini.exe
c:\windows\system\llsjy32.dll
c:\windows\system32\niqyzlsfku.dll
c:\documents and settings\user\「开始」菜单\程序\启动\dflljy.exe
c:\program files\microsoft office\system\apcdli.sys
c:\windows\system32\drivers\wion.sys

在PE里运行下载的大蜘蛛  在快速扫描之后进行全盘扫描

2.上面的做完后重启重新下载SREng，用SREng修复下面各项：

    启动项目 －－　启动文件夹之如下项删除：
[dflljy] 

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[COM+ Windows System / WinINI] 
[Windows Accounts Driver / windows_13]   

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[apcdli / apcdli] 
[wion / wion] 

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\niqyzlsfku.dll>
[]    <C:\WINDOWS\system32\niqyzlsfku.dll>

然后下载以下软件清理一次：

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

如果杀软也被感染而被大蜘蛛删除掉的话  请重新安装杀毒软件  再次进行全盘杀毒

C:\WINDOWS\system32\drivers\WDelMgr20.exe
这个文件在删除之前请先备份 

net.exe是感染型  感染了可执行文件  所以不止要删除这些文件  还得确保被感染文件彻底清理干净

ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe  大蜘蛛的下载地址忘了附上

finaldata2.0软件的主程序C:\WINDOWS\system32\drivers\WDelMgr20.exe及其服务[WDelMgr20 / WDelMgr20]建议保留，如果不用就一块灭了:default3:

非常感谢大家的帮忙，已经按要求做了，现在也正常使用了，但还是没完全清理完好象，进程里还是NET。EXE之类的东东，再次付上日志，帮忙看看哪里不对

附件: SREngLOG.txt

晕 刚是QQ之类的不能用 下载工具还能用 现在倒过来了

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\winini.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[COM+ Windows System / WinINI]    <C:\WINDOWS\system32\winini.exe>记住 在大蜘蛛未完成全盘扫描之前千万不要运行任何程序

个人的水平就只能如此了，估计系统中还有被感染的exe文件，等杀软更新清除病毒或等高手帮忙吧。

在发次扫描日志，进程是不见有什么异常了，但就是下载工具没办法打开，所以大蜘蛛也没办法下，在帮忙看一次，麻烦各位了

附件: SREngLOG.txt

AppInit_DLLs的值不为空，是ieprot.dll，没办法改回来，是不是这个原因？

看不出啥了，建议把下载工具卸载掉，删除安装目录的所有文件，下载安装包重装

那我把所有的应用程序全删了看看，基本上什么应用程序都用不了了，都提示跳出个错误信息，除了QQ，呵呵

汗，所有EXE文件 没有一个能用的

:kaka3: 你还敢运行??

运行后有可能造成病毒又重复感染

大蜘蛛用不了:default3:  说要购买 是购买了才能用吗