瑞星卡卡安全论坛

从网上查了一晚上，好像是
c:\windows\system32\liprip.dll
c:\windows\system32\fsutk.dll
这两个文件中毒，但是怎么也不能删除，其中只要删除fsutk.dll相关的注册表信息还有相关浏览器加载项，就要自动重启，进系统之后就发现它又回来了，请高人帮忙！谢谢！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon; .NET CLR 2.0.50727)

附件: SREngLogEm.LOG

先下载工具：
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.7支持奥运版。
windows清理助手下载：http://www.arswp.com/download.html
清理临时文件工具ATF-Cleaner-cn下载：http://www.qispace.com.cn/attachment.php?fid=34
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用前一定拔掉所有移动存储设备，将下面文件列表内容完整复制，然后打开XDelBox，在“待删除文件列表”下方空白框处右键，选择“剪贴板导入不检查路径”，勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
C:\WINDOWS\system32\MMKAFNFW1076.dll
C:\WINDOWS\system32\liprip.dll
C:\WINDOWS\System32\DRIVERS\29py.sys
C:\WINDOWS\system32\drivers\5jx47q9wj.sys
C:\WINDOWS\system32\DRIVERS\sojubus.sys
C:\WINDOWS\system32\DRIVERS\sojuscsi.sys
C:\WINDOWS\system32\fsutk.dll
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【注册表】，将以下项目删除：
1、<{4d2bc08b-66c7-4c40-9dd2-ff2c649c3655}>
2、所有红色显示的<IFEO>项目
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【服务】-【WIN32服务应用程序】，将以下项删除：
[Remote IPRIP Service / Iprip]
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[29p / 29py]
[5jx47q9wj / 5jx47q9wj]
[sojubus / sojubus]
[sojuscsi / sojuscsi]
———————————————————————————————————————
打开SREngldr.EXE，选择【系统修复】-【浏览器加载项】，将以下项删除：
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59}
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59}
———————————————————————————————————————
重启电脑，运行“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
杀毒软件升级最新版，断网后全盘查杀病毒。
———————————————————————————————————————
最后运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理；不能确定的，把图发上来。

注：蓝色项目可能是虚拟光驱的驱动，请自行确认，如果属实，请不要删除

谢谢！马上就操作，但是ATF-Cleaner-cn下载不到，用别的软件清理可以吗？

下载附件：

附件: 临时文件清理工具.rar

还是不行啊！
第一：找不到
C:\WINDOWS\System32\DRIVERS\29py.sys
C:\WINDOWS\system32\drivers\5jx47q9wj.sys
这两个文件

第二
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【注册表】，将以下项目删除：
1、<{4d2bc08b-66c7-4c40-9dd2-ff2c649c3655}>
2、所有红色显示的<IFEO>项目
———————————————————————————————————————

没找到上面说的这些项目，直接向下进行了

第三：执行下面这个操作之后电脑就直接重启了，快要重新进入系统的时候又自动关闭，然后重新启动进入了系统，360查了之后，还是没有删除插件！

———————————————————————————————————————
打开SREngldr.EXE，选择【系统修复】-【浏览器加载项】，将以下项删除：
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59}
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59}
———————————————————————————————————————

第一：找不到
C:\WINDOWS\System32\DRIVERS\29py.sys
C:\WINDOWS\system32\drivers\5jx47q9wj.sys

我晕，谁让你用XDELBOX的“添加”指令了……:default3:

发完回帖之后意识到这个问题了
但是我看扫描之后的日志已经和原来不一样了
还是请再重新指导一次吧：（
还有就是把那些文件添加到XDelBox的删除列表之后，就马上开始重启了，根本来不及点“重启删除”的选项
后序只要一删除[QuickFlash]的相关选项就自动重启了

附件: SREngLOG08091131.log

这些操作用不用到安全模式里面进行？？

一些不能清除的文件，可以尝试去安全模式下清理

一部分病毒已灭，建议严格按以下步骤操作，应该可以搞定它，不用进安全模式：

使用XDelBox删除以下文件：
使用前一定拔掉所有移动存储设备，将下面可疑文件列表内容完整复制，然后打开XDelBox，在“待删除文件列表”下方空白框处右键，选择“剪贴板导入不检查路径”，勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
C:\WINDOWS\system32\liprip.dll
C:\WINDOWS\system32\DRIVERS\sojubus.sys
C:\WINDOWS\system32\DRIVERS\sojuscsi.sys
C:\WINDOWS\system32\fsutk.dll
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【服务】-【WIN32服务应用程序】，将以下项删除：
[Remote IPRIP Service / Iprip]
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[sojubus / sojubus]
[sojuscsi / sojuscsi]
———————————————————————————————————————
打开SREngldr.EXE，选择【系统修复】-【浏览器加载项】，将以下项删除：
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59}
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59}
———————————————————————————————————————
重启电脑，运行“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
杀毒软件升级最新版，断网后全盘查杀病毒。
———————————————————————————————————————
最后运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理；不能确定的，把图发上来。

还是不行！主要有以下几个疑点：
1.XDelBox中选择“剪贴板导入不检查路径”之后即立即自动重启电脑，没来得及点“自动重启删除”，不知道是不是正常
2.再次进入windows时，打开SREngldr.EXE，没有马上进入软件界面，而是出来两个对话框，然后生成了另外的SRE525ed034.EXE这个文件，不过最后还是使用了SREngldr.EXE进行下序操作
3.选择【系统修复】-【浏览器加载项】删除“[QuickFlash]……”时，选择删除之后提示是不是确定删除之类的提示，选择确定删除之后直接重启了。
4.最后再查还是没删掉标题中提到的三个插件，用清理助手查的乱七八糟东西更多，还有什么3721X什么的
bengkuile

OK!
终于全部干掉了！
杀毒软件查出了一堆木马还有广告程序！
唯一不爽的是：“XDelBox1.7支持奥运版”感染了病毒，也被杀掉了。看来要重新下载一个了！

原来的问题出在杀毒软件不能启动。

感谢“超级游戏迷”！！:default69:

这是杀毒到55％时的状态，估计杀的差不多了
已删除：广告程序 not-a-virus:AdWare.Win32.BHO.axf 文件: C:\System Volume Information\_restore{E7373B35-283E-4C1C-BA19-45A6F06077AE}(2)\RP232\A0028088.dll
已删除：木马程序 Trojan-PSW.Win32.QQPass.bub 文件: C:\Documents and Settings\shiyufeng\桌面\00\07\XDelBox 1[1].7支持奥运版.rar/XDelBox.exe//ASPack
已删除：木马程序 Trojan-PSW.Win32.QQPass.bub 文件: C:\Documents and Settings\shiyufeng\桌面\00\07\XDelBox.exe//ASPack
已删除：广告程序 not-a-virus:AdWare.Win32.BHO.axf 文件: C:\Recycled\lip.dat
已删除：广告程序 not-a-virus:AdWare.Win32.BHO.axf 文件: C:\Recycled\qkf.dat
已删除：广告程序 not-a-virus:AdWare.Win32.BHO.axf 文件: C:\WINDOWS\Help\FKHFU.CHI
在计算机重启后删除：木马程序 Rootkit.Win32.Agent.alg 文件: C:\WINDOWS\system32\drivers\hapdrv.sys
已删除：木马程序 Trojan-PSW.Win32.QQPass.bub 文件: D:\software\07\XDelBox 1[1].7支持奥运版.rar/XDelBox.exe//ASPack
已删除：木马程序 Trojan-PSW.Win32.QQPass.bub 文件: D:\software\07\XDelBox.exe//ASPack
已删除：广告程序 not-a-virus:AdWare.Win32.BHO.axf 文件: D:\software\07\backups\fsutk.dll.bak
已删除：广告程序 not-a-virus:AdWare.Win32.BHO.axf 文件: D:\software\07\backups\liprip.dll.bak