中了毒，瑞星也运行不了，救我！ bbs.ikaka.com

yakao - 2008-6-6 8:12:00

电脑启动后瑞星被关，强启瑞星提示内存不能为“read“ ，运行不了。安全模式也不行，救我！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MyIE2)

yakao - 2008-6-6 8:15:00

我是访问下面网站后出的问题：
http://www.powu.com.cn/edu/test065.htm

大家慎进！！！

天月来了 - 2008-6-6 8:29:00

扫SRENG日志发这论坛来
下载SRENG2.6版：http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

wjn - 2008-6-6 8:39:00

我昨天也是这样，重装系统吧，如果重装还有问题的话，你上瑞星在线专家询问下，工程师会帮你解决问题的。我的问题解决了而且工程师服务很好的......88

wjn - 2008-6-6 8:40:00

http://csc.rising.com.cn/在线专家

yakao - 2008-6-6 22:02:00

刚回到家，感谢大家！
我的SRENG日志，帮忙看看：

附件: SREngLOG.txt

dibei - 2008-6-6 22:15:00

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

d:\docume~1\gaolh\locals~1\temp\tmp21.tmp
d:\windows\system32\drivers\msosmsp2p32.sys
d:\docume~1\gaolh\locals~1\temp\tmp1d.tmp
d:\docume~1\gaolh\locals~1\temp\tmp19.tmp
d:\docume~1\gaolh\locals~1\temp\1.tmp
d:\windows\system32\drivers\msosfpids32.sys
d:\docume~1\gaolh\locals~1\temp\tmp1f.tmp
d:\docume~1\gaolh\locals~1\temp\tmp1b.tmp

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项禁用：
[ping / ping] <\??\D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp21.tmp>
[msp2p32 / msp2p32] <\??\D:\WINDOWS\system32\drivers\msosmsp2p32.sys>
[mnsf / mnsf] <\??\D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp1D.tmp>
[mhfp / mhfp] <\??\D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp19.tmp>
[IIS Manager / IIS Manager ] <\??\D:\DOCUME~1\gaolh\LOCALS~1\Temp\1.tmp>
[fpids32 / fpids32] <\??\D:\WINDOWS\system32\drivers\msosfpids32.sys>
[fmsq / fmsq] <\??\D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp1F.tmp>
[dohs / dohs] <\??\D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp1B.tmp>

下载临时文件清理工具清理一下临时文件
http://www.xpi386.com.cn/tools/HA-ATF-Cleaner.rar

yakao - 2008-6-6 22:26:00

引用:

原帖由 dibei 于 2008-6-6 22:15:00 发表
1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操

感谢dibei 大大~
马上下了工具试试。

yakao - 2008-6-6 23:29:00

用 dibei 大大所说工具清理了。
可瑞星还是运行不了，是不是要重装瑞星？
重新扫了个SRENG日志，请大家帮看看还有什么问题。

附件: SREngLOG.txt

yakao - 2008-6-7 0:15:00

瑞星重装了也运行不了，求帮助~

有毒必问 - 2008-6-7 7:22:00

删除文件

D:\WINDOWS\hrrixr.exe]
D:\WINDOWS\anistio.exE
D:\WINDOWS\issms32.exe
D:\WINDOWS\dionpis.exe
D:\WINDOWS\fmbiost.exe
D:\WINDOWS\tciocp64.exe
D:\WINDOWS\mfchlp64.exe
D:\WINDOWS\huifitc.exe
D:\WINDOWS\ticisms.exe
D:\WINDOWS\system32\drivers\svchost.exe
D:\WINDOWS\wrew2ds.exe
D:\WINDOWS\wipxcdec.exe
D:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys
D:\WINDOWS\system32\MMKAFNFW1097.dll
D:\WINDOWS\system32\MMMHXGGD1061.dll
D:\WINDOWS\system32\mfdesy.dll
D:\WINDOWS\system32\MMBAIKOK1092.dll
D:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp1B.tmp
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp1F.tmp
D:\WINDOWS\system32\drivers\Hdv32_c.sys
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp1D.tmp
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp19.tmp
D:\DOCUME~1\gaolh\LOCALS~1\Temp\1.tmp
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp21.tm
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmp8.tmp
D:\DOCUME~1\gaolh\LOCALS~1\Temp\tmpA.tmp
D:\WINDOWS\system32\ukrth.dll
D:\WINDOWS\system32\hjmh.dll
D:\WINDOWS\system32\ghjkdr.dll
D:\WINDOWS\system32\dionpis.dll
D:\WINDOWS\system32\anistio.dll
D:\WINDOWS\system32\ytewcxzsw.dll
D:\WINDOWS\system32\issms32.dll
D:\WINDOWS\system32\fmsjhif.dll
D:\WINDOWS\system32\bincdwsa.dll
D:\WINDOWS\system32\dbhlp32.dlL
D:\WINDOWS\system32\fmsbbqi.dll
D:\WINDOWS\system32\ptshell.dll
D:\WINDOWS\system32\sfanouwz.dll
D:\WINDOWS\system32\hefcndy.dll
D:\WINDOWS\system32\tciocp64.dll
D:\WINDOWS\system32\huifitc.dll
D:\WINDOWS\system32\mfchlp64.dll
D:\WINDOWS\system32\ticisms.dll
D:\WINDOWS\system32\wipxcdec.dll
D:\WINDOWS\system32\wrew2ds.dll

有毒必问 - 2008-6-7 7:24:00

建议删除用XDELBOX1.7 选择免生成

修复映像劫持

删除后重裝瑞星，全盘杀毒

有毒必问 - 2008-6-7 7:28:00

开始－运行－regedit

删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ytewcxzsw>
<anistio>
<issms32>
<dionpis>
<fmbiost>
<tciocp64>
<mfchlp64>
<ticisms>
<KVP>
<wrew2ds>
wipxcdec>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{398C9B84-4EF7-47B5-9862-DE29543B3C42}>
<{d6763cab-b46e-4f7f-8347-6f098a83a164}>
<{c064c122-504c-4793-a16c-2b061dd0c774}>
<{DC3D30AE-0380-4151-8934-EE98A34B0370}>
<{18e64250-19a8-4d10-828f-30e101a22291}>

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面全部删除

天月来了 - 2008-6-7 7:32:00

因为系统盘在D盘

所以不能用XDELBOX删除病毒文件。

可以考虑用费尔木马清理助手：
http://dl.filseclab.com/down/powerrmv.zip

有毒必问 - 2008-6-7 11:37:00

引用:

原帖由 天月来了 于 2008-6-7 7:32:00 发表
因为系统盘在D盘

所以不能用XDELBOX删除病毒文件。

可以考虑用费尔木马清理助手：
http://dl.filseclab.com/down/powerrmv.zip

谨记谨记。。。 :default6:

yakao - 2008-6-7 21:49:00

清理了病毒文件和注册表，瑞星小雨伞和盾牌又回来了，正在全盘杀毒，万分感谢：
天月来了、有毒必问、dibei 等的热心帮助！

瑞星卡卡安全论坛