瑞星卡卡安全论坛

今天上网，没过多久就发现网速超慢，想用瑞星杀度，打不开。进程管理中发现有60多个进程。
下了，机器狗、磁碟机、橙色八月、AV终结的专用杀毒软件、杀过后，重新安装瑞星最新版，又有了修复应用程序劫持项、木马群处理程序。全盘杀毒杀了几次。不知道，机子能否恢复？马上要进行网上考试报名了，急啊！！！:default2:


用卡卡上网助手扫了诊断日志发上来，各位高手给看看，问题是否解决了？

附件: rslog.txt (2008-6-1 14:53:38, 72.50 K)
该附件被下载次数 126

不要因为我家小猫长得不怎的，而不理我喔！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)

扫SRENG日志发到论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里（或者将后缀.log改成.txt）然后再保存，就可以以附件的形式发到卡卡论坛。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。
提示：扫描前必须把QQ，迅雷之类的关闭。
(*^__^*) 嘻嘻……

谢谢!已经按要求将日志扫好了。详见附件。

附件: SREngLOG.txt (2008-6-2 21:07:39, 43.07 K)
该附件被下载次数 122

奇怪 日志中没有那么多进程阿

到是注册表 驱动和服务里有很多病毒

用sreng
删除启动项目=>注册表
    <66><C:\SysDayN6\svchost.exe>  [N/A]
    <4><C:\SysWsj7\svchost.exe>  [N/A]
    <?{4FD45A54-9875-698F-E56E-65102358FDF4}><apsgdjba.dll>  [N/A]
    <?{6C8D1401-A58D-A81C-CD24-A5915C4517C6}><mnmhfsrv.dll>  [N/A]
    <?{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}><oohxdbyt.dll>  [N/A]
    <?{22596546-2036-9451-6058-658402589722}><opshbbty.dll>  [N/A]
    <?{6A041F13-A111-12A3-B0CF-F99818AA68A6}><zxmscwin.dll>  [N/A]
    <?{13FD5987-65D2-C58D-D87E-987451F12531}><swsxachu.dll>  [N/A]
    <?{50940F85-F015-14F1-A05F-F69858AC6D05}><zptlcsys.dll>  [N/A]
    <?{81954FAC-1023-154F-895A-1458258AD818}><ypdjfbmp.dll>  [N/A]
    <?{528DF602-9541-A985-210A-984A698C6F25}><ptjhehlp.dll>  [N/A]
    <?{4A069845-2036-6084-9054-6087502480A4}><ozfydbyt.dll>  [N/A]
    <WPDShServiceObj><?{AAA288BA-9A4C-45B0-95D7-94D524869DB5}>  [N/A]
    <midimaptl><?{4F4F0064-71E0-4f0d-0017-708476C7815F}>  [N/A]
    <midimapzx><?{4F4F0064-71E0-4f0d-0005-708476C7815F}>  [N/A]
    <midimapwd><?{4F4F0064-71E0-4f0d-0018-708476C7815F}>  [N/A]
    <midimapqn3><?{4F4F0064-71E0-4f0d-0022-708476C7815F}>  [N/A]
    <midimapwl><?{4F4F0064-71E0-4f0d-0004-708476C7815F}>  [N/A]
    <midimapcq><?{4F4F0064-71E0-4f0d-0023-708476C7815F}>  [N/A]
    <midimapwm><?{4F4F0064-71E0-4f0d-0002-708476C7815F}>  [N/A]
    <midimapmy><?{4F4F0064-71E0-4f0d-0015-708476C7815F}>  [N/A]
    <midimapcqsj><?{4F4F0064-71E0-4f0d-0024-708476C7815F}>  [N/A]

删除启动项目=>服务
[8D46415E / 8D46415E][Stopped/Auto Start]
  <C:\WINDOWS\system32\8D46415E.EXE -service><N/A>
[AB11A776 / AB11A776][Stopped/Auto Start]
  <C:\WINDOWS\system32\AB11A776.EXE -service><N/A>
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>

删除启动项目=>服务=>驱动
[IIS Manager  / IIS Manager ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\Owner\LOCALS~1\Temp\1.tmp><N/A>

删除系统修复=>浏览器加载项
[]
  {13FD5987-65D2-C58D-D87E-987451F12531} <C:\WINDOWS\system32\swsxachu.dll, N/A>
[]
  {17AC9076-C898-B098-D098-A18319080971} <C:\WINDOWS\system32\nhmxajkl.dll, N/A>
[]
  {18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
  {22596546-2036-9451-6058-658402589722} <C:\WINDOWS\system32\opshbbty.dll, N/A>
[]
  {2D698451-2015-6358-9871-2015987452D2} <C:\WINDOWS\system32\apzhbtde.dll, N/A>
[]
  {33512378-9874-5641-1025-985420368733} <C:\WINDOWS\system32\oswxcttb.dll, N/A>
[]
  {35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
  {4A069845-2036-6084-9054-6087502480A4} <C:\WINDOWS\system32\ozfydbyt.dll, N/A>
[]
  {4C648541-1025-9650-9057-6541258720C4} <C:\WINDOWS\system32\mndhddwd.dll, N/A>
[]
  {4FD45A54-9875-698F-E56E-65102358FDF4} <C:\WINDOWS\system32\apsgdjba.dll, N/A>
[]
  {50940F85-F015-14F1-A05F-F69858AC6D05} <C:\WINDOWS\system32\zptlcsys.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {6C8D1401-A58D-A81C-CD24-A5915C4517C6} <C:\WINDOWS\system32\mnmhfsrv.dll, N/A>
[]
  {81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>

重启,删除
C:\WINDOWS\system32\swsxachu.dll
C:\WINDOWS\system32\nhmxajkl.dll
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\opshbbty.dll
C:\WINDOWS\system32\apzhbtde.dll
C:\WINDOWS\system32\oswxcttb.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\ozfydbyt.dll
C:\WINDOWS\system32\mndhddwd.dll
C:\WINDOWS\system32\apsgdjba.dll
C:\WINDOWS\system32\zptlcsys.dll
C:\WINDOWS\system32\ptjhehlp.dll
C:\WINDOWS\system32\oohxdbyt.dll
C:\WINDOWS\system32\zxmscwin.dll
C:\WINDOWS\system32\mnmhfsrv.dll
C:\WINDOWS\system32\ypdjfbmp.dll
C:\WINDOWS\system32\8D46415E.EXE
C:\WINDOWS\system32\AB11A776.EXE
C:\WINDOWS\System32\appmgmts.dll
C:\SysDayN6\svchost.exe
C:\SysWsj7\svchost.exe

安全模式清空
C:\DOCUME~1\Owner\LOCALS~1\Temp\

下载卡卡上网助手一键清理..

可借助顶置工具贴 xdelbox 删除文件..

上面的几个步骤用sreng完成了,可下面的不会处理,本人实在是草脚中的草脚，请不厌其繁的教教我这个笨猫
重启,删除
C:\WINDOWS\system32\swsxachu.dll
C:\WINDOWS\system32\nhmxajkl.dll
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\opshbbty.dll
C:\WINDOWS\system32\apzhbtde.dll
C:\WINDOWS\system32\oswxcttb.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\ozfydbyt.dll
C:\WINDOWS\system32\mndhddwd.dll
C:\WINDOWS\system32\apsgdjba.dll
C:\WINDOWS\system32\zptlcsys.dll
C:\WINDOWS\system32\ptjhehlp.dll
C:\WINDOWS\system32\oohxdbyt.dll
C:\WINDOWS\system32\zxmscwin.dll
C:\WINDOWS\system32\mnmhfsrv.dll
C:\WINDOWS\system32\ypdjfbmp.dll
C:\WINDOWS\system32\8D46415E.EXE
C:\WINDOWS\system32\AB11A776.EXE
C:\WINDOWS\System32\appmgmts.dll
C:\SysDayN6\svchost.exe
C:\SysWsj7\svchost.exe

安全模式清空
C:\DOCUME~1\Owner\LOCALS~1\Temp\

另外用
xdelbox软件删除上述进程、程序，说不存在该文件（软件不支持删除文件夹）。

:default8: 按版主的方法将上面几个能操作的步骤完成后,又扫了一遍日志,麻烦在看一下。多谢！

附件: SREngLOG2.txt (2008-6-4 2:08:50, 41.58 K)
该附件被下载次数 106

看不出什么了
系统无异常，就行了。

是吗?但点击sreng软件的启动项目,有提示:警告!注册表AppInit-CLLs被修改为非正常值(默认值为空).请检查你的系统中可能存在的计算机病毒.

      系统目前能正常使用,但总是有模块触动规则提示出现,因为不知道究竟是何意义,是否存在风险,现一律拒绝放行.

      想请高手确认一下,是否电脑中毒的问题是否真正解决了?:default16:

  用版主提供的sreng2.6重新扫了日志,请高手们给看一下.

附件: SREngLOG3.txt (2008-6-4 20:43:22, 44.52 K)
该附件被下载次数 108

我签名内容看见没？？？

早知道你会问那个了。

:default3:
弱弱地问一下,系统正常时(没有应用程序时),进程数为多少?:kaka6:

看软件装载量的多与少..