瑞星卡卡安全论坛

瑞星被屏蔽，不能运行杀毒软件和防火墙 贴上日志，版主帮看下，在线等待

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLogEm.txt

控制面版——管理工具——服务——Rising Process Communication Center 开启了没有？是不是设置为自动的。如果禁止或停止了，运行他。设为自动。。。
如果不能打开，去安全模式下打开。瑞星应该就可以用了。在安全模式下全盘查杀一下。

这只是我碰到这些情况的心得，看看是不是一样的。

有没有QQ,加我QQ906511611
我帮你搞定

在清理之前，只说一句，不要嫌麻烦而不做某一个步骤，细心点，慢慢来

一定！
先替换下列文件
用 Windows\System32\Dllcache 目录里的 lsass.exe 文件替换 Windows\System32 目录下的这个文件

用 Windows\System32\Dllcache 目录里的　mfc40u.dll　文件替换 Windows\System32 目录下的这个文件



http://d5.97sky.cn/TonPE_V1.4.exe
请务必下载雨林木风PE安装包进行安装以防止误操作删除系统文件无法进入系统时的修复,并在安装完成后重起一次确认可以正常进入PE系统后继续以下操作。
以下操作一定要拔掉网线，在安全模式下进行，运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
Xdelbox工具 下载：http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的
下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\fmsiocps.exe
C:\WINDOWS\anistio.exE
C:\WINDOWS\dionpis.exe
C:\WINDOWS\isndntio.exe
C:\WINDOWS\mfchlp64.exe
C:\WINDOWS\fmsjhif.exe
C:\WINDOWS\fmsbbqi.exe
C:\WINDOWS\dbhlp32.exe
C:\WINDOWS\ptshell.exe
C:\WINDOWS\huifitc.exe
C:\WINDOWS\bincdwsa.exe
C:\WINDOWS\fmbiost.exe
C:\WINDOWS\dndsioc.exe
C:\WINDOWS\yuiabct.exe
C:\WINDOWS\WINSvr64.exe
C:\WINDOWS\gppsnybh.exe
C:\WINDOWS\tciocp64.exe
C:\WINDOWS\hefcndy.exe
C:\WINDOWS\ticisms.exe
C:\WINDOWS\wipicdec.exe
C:\Program Files\Internet Explorer\PLUGINS\DosSys16.Sys
C:\WINDOWS\system32\F407A418.EXE
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\TEMP\tmp2.tmp
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp7.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpB.tmp
C:\WINDOWS\system32\drivers\dvhc.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp9.tmp
C:\WINDOWS\System32\DRIVERS\hm3tdkr.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\drivers\msosmsp2p32.sys
C:\WINDOWS\System32\hidserv.dll
C:\WINDOWS\TEMP\Pandrv.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp13.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp11.tmp
C:\WINDOWS\system32\DRIVERS\tdljqm8ib.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp3.tmp
C:\WINDOWS\system32\xcbvth.dll
C:\WINDOWS\system32\syqnba.dll
C:\WINDOWS\system32\ubjkqi.dll
C:\WINDOWS\system32\fmsiocps.dll
C:\WINDOWS\system32\rfoxdl.dll
C:\WINDOWS\system32\rzumin.dll
C:\WINDOWS\system32\asbbjx.dll
C:\WINDOWS\system32\msosmnsf02.dll
C:\WINDOWS\system32\msosping02.dll
C:\WINDOWS\system32\msosjtio02.dll
C:\WINDOWS\system32\msoscqit02.dll
C:\WINDOWS\system32\msosdohs03.dll
C:\WINDOWS\system32\msosptfs02.dll
C:\WINDOWS\system32\msosfmsq02.dll
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\79513960.DLL



输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 （按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
如果有什么操作不会,请参考:
http://bbs.ikaka.com/showtopic-8442813.aspx
by 天月来了



由于病毒文件太多，可能有重复，抱歉

搞定后

用sreng删除下列启动项目

    <fmsiocps><C:\WINDOWS\fmsiocps.exe>  []
    <anistio><C:\WINDOWS\anistio.exE>  []
    <dionpis><C:\WINDOWS\dionpis.exe>  []
    <isndntio><C:\WINDOWS\isndntio.exe>  []
    <mfchlp64><C:\WINDOWS\mfchlp64.exe>  []
    <fmsjhif><C:\WINDOWS\fmsjhif.exe>  []
    <fmsbbqi><C:\WINDOWS\fmsbbqi.exe>  []
    <dbhlp32><C:\WINDOWS\dbhlp32.exe>  []
    <ptshell><C:\WINDOWS\ptshell.exe>  []
    <huifitc><C:\WINDOWS\huifitc.exe>  []
    <bincdwsa><C:\WINDOWS\bincdwsa.exe>  []
    <fmbiost><C:\WINDOWS\fmbiost.exe>  []
    <dndsioc><C:\WINDOWS\dndsioc.exe>  []
    <yuiabct><C:\WINDOWS\yuiabct.exe>  []
    <WINSvr64><C:\WINDOWS\WINSvr64.exe>  []
    <ygipnpjs><C:\WINDOWS\gppsnybh.exe>  []
    <tciocp64><C:\WINDOWS\tciocp64.exe>  []
    <hefcndy><C:\WINDOWS\hefcndy.exe>  []
    <ticisms><C:\WINDOWS\ticisms.exe>  []
    <wipicdec><C:\WINDOWS\wipicdec.exe>  []
    <{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:\Program Files\Internet Explorer\PLUGINS\DosSys16.Sys>  []



删除下列服务
[3FDA67F4 / 3FDA67F4][Stopped/Auto Start]
  <C:\WINDOWS\system32\F407A418.EXE -d><>
禁用下列服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>


删除下列驱动
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[apcdli / apcdli][Running/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp7.tmp><N/A>
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpB.tmp><N/A>
[dvhc / dvhc][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\dvhc.sys><N/A>
[fmsq / fmsq][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp9.tmp><N/A>
[hm3tdk / hm3tdkr][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\hm3tdkr.sys><N/A>
[jtio / jtio][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF.tmp><N/A>
[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmp2.tmp><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[msp2p32 / msp2p32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys><N/A>
[Pandrv / Pandrv][Stopped/Disabled]
  <\??\C:\WINDOWS\TEMP\Pandrv.sys><N/A>
[ping / ping][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp13.tmp><N/A>
[ptfs / ptfs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp11.tmp><N/A>
[tdljqm8i / tdljqm8ib][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\tdljqm8ib.sys><N/A>
[zftp / zftp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp3.tmp><N/A>


删除下列浏览器加载
[]
  {398C9B84-4EF7-47B5-9862-DE29543B3C42} <C:\Program Files\Internet Explorer\PLUGINS\DosSys16.Sys, N/A>

搞定后

比较重要的两个步骤：

1，用sreng将下列启动项目键值为空
<AppInit_DLLs>
找到此启动项目
编辑，将所有值删除

或者是修改为<>即可清空


2，一定！要用附件清理IFEO劫持项目


最后清理电脑
下载清理系统临时文件和IE临时文件夹工具,全选所有项目，点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载arswp(Windows清理助手)清理下..（下载了软件后，立即更新，直到最新版本）　
http://www.arswp.com/download/arswp/arswp.rar


到安全模式下断开网络清理以及用杀软查杀病毒

附件: 劫持修复.rar

建议搞定所有事情后再上传日志看

谢谢