瑞星卡卡安全论坛

就是这个日志

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; FunWebProducts; .NET CLR 2.0.50727)

附件: SREngLOG.log

启动项目注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]这个是系统默认的IFEO劫持
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\system32\Coopen.scr>  [File is missing]屏保文件





==================================
服务

[Task Card / Dutification][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k Dutification-->%SystemRoot%\System32\rclymv.dll><N/A>
[jakatf / jakatf][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k jakatf-->%SystemRoot%\System32\zhtfes.dll><N/A>
[jzkqbh / jzkqbh][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k jzkqbh-->%SystemRoot%\System32\xdgjdv.dll><N/A>

[Remouters Access Auto / RpcServer][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k RpcServer-->%SystemRoot%\System32\yvfzvx.dll><N/A>


[TCP/IP NetBIOS Help / LnHosts][Running/Auto Start]
  <C:\WINDOWS\system32\Rules\smss.exe><N/A>

==================================
驱动程序

[d344bus / d344bus][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\d344bus.sys><>
[d344prt / d344prt][Running/Boot Start]
  <\SystemRoot\System32\Drivers\d344prt.sys><>这俩文件MS是虚拟光驱的驱动

[kl1 / kl1][Running/Boot Start]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>晕  卡巴的驱动都删

[oreans32 / oreans32][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>[color]MS金山什么东西的驱动
[SAKURAWAR4NEWC Synchronization Driver (ps6ahwwc) / ps6ahwwc][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\ps6ahwwc.sys><N/A>
[Secdrv / Secdrv][Running/Auto Start]
  <system32\DRIVERS\secdrv.sys><N/A>这个需要硬记,有签名的日志不多见,但是是正常的
[SVKP / SVKP][Running/Auto Start]
  <\??\C:\WINDOWS\system32\SVKP.sys><AntiCracking>这个确实是病毒,我也给搂掉了,感谢提出
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>正常的TCPIP并发连接数相关的驱动
[TesSafe / TesSafe][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\TesSafe.sys><TENCENT>可删可不删
[TSP / TSP][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>卡巴的驱动
[Conexant Setup API / UIUSys][Stopped/Manual Start]
  <system32\DRIVERS\UIUSYS.SYS><N/A>这个应该没问题
[WINIO / WINIO][Stopped/Manual Start]
  <\??\D:\娱乐\游戏\简单游\qmnms.sys><N/A>
看下这些是什么？

一个问题发这么多主题帖干什么？:kaka10:

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\rules\csrss.exe
c:\windows\system32\rules\services.exe
c:\windows\system32\rules\smss.exe
c:\windows\system32\esent\services.exe
c:\windows\system32\zhtfes.dll
c:\windows\system32\yvfzvx.dll
c:\windows\system32\system.exe
c:\progra~1\mywebs~1\bar\1.bin\m3plugin.dll
c:\progra~1\3721\helper.dll
c:\windows\system32\ntsvc.ocx
c:\windows\system32\yvfzvx.dll
c:\windows\system32\xdgjdv.dll
c:\windows\system32\zhtfes.dll
c:\windows\system32\rclymv.dll
c:\windows\system\lsass.exe
c:\windows\system32\drivers\ps6ahwwc.sys
c:\windows\system32\drivers\lyfx.ahc
c:\windows\system32\svkp.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[system] 
[MyWebSearch Plugin] 
[helper.dll]

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[TCP/IP NetBIOS Help / LnHosts] 
[Remouters Access Auto / RpcServer] 
[jzkqbh / jzkqbh] 
[jakatf / jakatf]   
[Task Card / Dutification] 
[Application Management / AppMgmt]   

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[SAKURAWAR4NEWC Synchronization Driver (ps6ahwwc) / ps6ahwwc] 
[LYFX / LYFX]   
[SVKP / SVKP]

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip