瑞星卡卡安全论坛

今天发现杀毒软件没了，知道有问题了。开机就自动检测E盘。EF两个盘都自己变成NTFS格式了。
努力1个上午，现在杀毒软件可以用了，杀了n个病毒。
现在问题如下:
1）进入不了安全模式
2）开机就自动检测E盘
3）无法切换输入法(在注册表里面，ctfmon那项都没有了）
4)  有4个病毒始终杀不了，都是Rootkit.win32什么的
求求大家帮帮我吧，谢谢了!
日志如下：

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; Maxthon)

附件: hijackthis.txt

我之前中的是不是什么AV终结者啊？真麻烦!回来电脑就被别人弄成这样了:default4:

这个是Sreng日志

附件: SREngLOG.txt

谁来帮帮我啊，急死我了

大家帮帮，我谢谢了

删除这些驱动：<\??\C:\WINDOWS\TEMP\tmp1.tmp><N/A>
<\??\C:\WINDOWS\TEMP\Pandrv.sys><N/A>
  <\SystemRoot\System32\DRIVERS\ocuy5.sys><N/A>
再把这些文件删除（以下显示的文件）....用sreng清理注册表（以下），我还是初学者，只是我自己的分析，楼主还是等高手来了再说:default6:
<WinSysM><C:\WINDOWS\379899M.exe>
<{4B1AEF69-DDAE-FDAD-DCAB-698F026ABDB4}><C:\WINDOWS\system32\oohxcbyt.dll>  []
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  []
    <{40940F85-F015-14F1-A05F-F69858AC6D04}><C:\WINDOWS\system32\zptlbsys.dll>  []
    <{5490415F-65F8-B5C5-D8BA-9405FB120545}><C:\WINDOWS\system32\yzztemsn.dll>  [N/A]
    <{91698482-6555-3666-1222-954784129019}><C:\WINDOWS\system32\zxptejpg.dll>  []
    <{35694105-5108-9405-3695-954187462153}><C:\WINDOWS\system32\mpwdcapi.dll>  []
    <{862652D1-C684-40EE-8859-8CF316178209}><C:\WINDOWS\system32\wziiwm.dll>  []
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  []
    <{6A59145F-315D-BC23-AC1F-145DF81A34A6}><C:\WINDOWS\system32\zyzxfime.dll>  []
    <{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll>  []
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  []
    <{031B7024-4FC5-49B3-98EF-6B810FF12678}><C:\WINDOWS\system32\sjhrdh.dll>  []
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  []
    <{428DF602-9541-A985-210A-984A698C6F24}><C:\WINDOWS\system32\ptjhdhlp.dll>  []
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  []
    <{4A069845-2036-6084-9054-6087502480A4}><C:\WINDOWS\system32\ozfydbyt.dll>  []
    <{71954FAC-1023-154F-895A-1458258AD817}><C:\WINDOWS\system32\ypdjebmp.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll>  []
    <{875E07B1-0614-43D9-A76E-D76A28AB3D7B}><C:\WINDOWS\system32\tfsdmz.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  []
    <{DEDFEC2B-2AD8-4DE2-83B5-B7BD776148F9}><C:\WINDOWS\system32\fdubkh.dll>  []
    <{37FD640A-158F-48AC-FD14-1597F14A9773}><C:\WINDOWS\system32\mndscsrv.dll>  [N/A]
    <{6490415F-65F8-B5C5-D8BA-9405FB120546}><C:\WINDOWS\system32\yzztfmsn.dll>  []

去下载清理系统临时文件和IE临时文件夹工具,全选所有项目，点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe

这 里 下 载 W i n d o w s 清 理 助 手 ，清理你那系统。
http://www.arswp.com/

下载后，升级清理助手，然后断网重启电脑清理系统。

清理完以后，在防火墙里阻止不明程序访问网络，然后再扫个最新日志发来看看。

中毒太多了。

同意楼上~启动项目就N多~看的头晕死:default6:

太谢谢了，我马上试试

汗死~
都说明我是初学者~:default11:
那些分析可能适得其反啊~:default6:
所以~再扫描一份sreng日志给天月来了版主看看:default9:

清理的时候有问题，没法关机了

这个是扫描完的新日志。谢谢大家了

附件: SREngLOG.txt

好像插上网线就中毒，现在再扫描又出现了好多要清理的，怎么办啊

好多了

你等会

辛苦了，都是好人啊：）

还得断网操作：

————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找lsass.exe文件和mfc40u.dll文件，复制到C:\WINDOWS\system32文件夹里替换掉已被病毒恶意替换的两个相同文件。

替换前可以这样操作，将系统C:\WINDOWS\system32\文件夹里的lsass.exe文件和mfc40u.dll文件改名，然后将找到的正常的两个文件复制到C:\WINDOWS\system32\文件夹里就可以了。

如果在C:\WINDOWS\system32\dllcache文件夹里找不到这两文件，可以去这贴里找这两文件：
http://bbs.ikaka.com/showtopic-8501837.aspx

记住这两个系统文件必须替换还原为正常系统文件，否则永远清理不完，因为一开机他们就要下载新的病毒。

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{4B1AEF69-DDAE-FDAD-DCAB-698F026ABDB4}><C:\WINDOWS\system32\oohxcbyt.dll>  [N/A]
    <{5490415F-65F8-B5C5-D8BA-9405FB120545}><C:\WINDOWS\system32\yzztemsn.dll>  [N/A]
    <{91698482-6555-3666-1222-954784129019}><C:\WINDOWS\system32\zxptejpg.dll>  [N/A]
    <{35694105-5108-9405-3695-954187462153}><C:\WINDOWS\system32\mpwdcapi.dll>  [N/A]
    <{862652D1-C684-40EE-8859-8CF316178209}><C:\WINDOWS\system32\wziiwm.dll>  [N/A]
    <{6A59145F-315D-BC23-AC1F-145DF81A34A6}><C:\WINDOWS\system32\zyzxfime.dll>  [N/A]
    <{428DF602-9541-A985-210A-984A698C6F24}><C:\WINDOWS\system32\ptjhdhlp.dll>  [N/A]
    <{4A069845-2036-6084-9054-6087502480A4}><C:\WINDOWS\system32\ozfydbyt.dll>  [N/A]
    <{71954FAC-1023-154F-895A-1458258AD817}><C:\WINDOWS\system32\ypdjebmp.dll>  [N/A]
    <{DEDFEC2B-2AD8-4DE2-83B5-B7BD776148F9}><C:\WINDOWS\system32\fdubkh.dll>  [N/A]
    <{6490415F-65F8-B5C5-D8BA-9405FB120546}><C:\WINDOWS\system32\yzztfmsn.dll>  [N/A]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
服务
[Security Control / seictrl][Stopped/Auto Start]
  <c:\windows\system32\rundll32.exe dbi100.dll,scan><Microsoft Corporation>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[aju / aju][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aju.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {35694105-5108-9405-3695-954187462153} <C:\WINDOWS\system32\mpwdcapi.dll, N/A>
[]
  {428DF602-9541-A985-210A-984A698C6F24} <C:\WINDOWS\system32\ptjhdhlp.dll, N/A>
[]
  {4A069845-2036-6084-9054-6087502480A4} <C:\WINDOWS\system32\ozfydbyt.dll, N/A>
[]
  {4B1AEF69-DDAE-FDAD-DCAB-698F026ABDB4} <C:\WINDOWS\system32\oohxcbyt.dll, N/A>
[]
  {5490415F-65F8-B5C5-D8BA-9405FB120545} <C:\WINDOWS\system32\yzztemsn.dll, N/A>
[]
  {6490415F-65F8-B5C5-D8BA-9405FB120546} <C:\WINDOWS\system32\yzztfmsn.dll, N/A>
[]
  {6A59145F-315D-BC23-AC1F-145DF81A34A6} <C:\WINDOWS\system32\zyzxfime.dll, N/A>
[]
  {71954FAC-1023-154F-895A-1458258AD817} <C:\WINDOWS\system32\ypdjebmp.dll, N/A>
[]
  {91698482-6555-3666-1222-954784129019} <C:\WINDOWS\system32\zxptejpg.dll, N/A>
[]
  {35694105-5108-9405-3695-954187462153} <C:\WINDOWS\system32\mpwdcapi.dll, N/A>
[]
  {428DF602-9541-A985-210A-984A698C6F24} <C:\WINDOWS\system32\ptjhdhlp.dll, N/A>
[]
  {4A069845-2036-6084-9054-6087502480A4} <C:\WINDOWS\system32\ozfydbyt.dll, N/A>
[]
  {4B1AEF69-DDAE-FDAD-DCAB-698F026ABDB4} <C:\WINDOWS\system32\oohxcbyt.dll, N/A>
[]
  {5490415F-65F8-B5C5-D8BA-9405FB120545} <C:\WINDOWS\system32\yzztemsn.dll, N/A>
[]
  {6490415F-65F8-B5C5-D8BA-9405FB120546} <C:\WINDOWS\system32\yzztfmsn.dll, N/A>
[]
  {6A59145F-315D-BC23-AC1F-145DF81A34A6} <C:\WINDOWS\system32\zyzxfime.dll, N/A>
[]
  {71954FAC-1023-154F-895A-1458258AD817} <C:\WINDOWS\system32\ypdjebmp.dll, N/A>
[]
  {91698482-6555-3666-1222-954784129019} <C:\WINDOWS\system32\zxptejpg.dll, N/A>
————————————————————————————————————
再重启电脑，反复检查，操作相关，

————————————————————————————————————
再重启电脑，

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手，清理你那系统。
记得打打系统漏洞补丁

谢谢版主！！！
现在好多了，但是重启还是检测E盘，输入法还是没法切换，是不是系统文件受破坏了啊，我怎么修复？

既然已经操作过，那么再扫新日志来

最新的日志！
非常感谢斑竹的帮助！！！！
现在的问题就是启动自动检测e盘。我的EF两个盘已经变成NTFS格式了

附件: SREngLOG.txt

通过学习，现在问题都解决了，谢谢帮助我的人，特别感谢斑竹！

我要最新日志啊

你还发以前的干什么啊？？？？？？？？？

5555555555555555

发错了，这个

附件: SREngLOG2.txt

新日志看不出什么了

至于磁盘扫描什么的其他问题，建议你去系统软件区求助。

版主可是高手~~~
向高手学习（应该没有违反版规吧~）:kaka12: