瑞星卡卡安全论坛

中午把瑞星更新了，电脑丢那全盘杀毒。谁知道 下午一上。点瑞星安检时他就说-低安全：实时防御和主动监控都未开起。。点实时防御和主动监控显示保护中~我用360和WIN清除大师查木马。查到机器狗和下载器。之后处理，重起，瑞星图标那显示监视未打开（之前右下角图标无显示）。但是进入瑞星还是保护中。。再用360和WIN清除大师啥都没查到。。99999命啊~这几天死机器狗老来找我。

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14

看版规，再上传报告文件。

额。。就在刚才。我把网页监控改成自动跳过脚本后，瑞星就全都显示监控和防御关闭了。也开不了。我想到中午我在用讯雷用游戏时跳出个什么脚本。我随手点了不，，讯雷就跳出个什么都没有的框框。关了之后还能下。下第2个游戏时我就烦了。点了是。不知道和这有没啥关系，还有死输入法也只能用快捷开（shift+alt)可是我之前设的是（shift+citrl)之前那个用不了。。好繁啊

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\175b20ecfba82db8.dat
c:\windows\system32\drivers\360timeprot.sys
c:\3d65faec9a36da1a.dat
c:\windows\system32\bzwtur
c:\windows\system32\drivers\d346bus.sys
c:\windows\system32\drivers\d346prt.sys
c:\windows\system32\olhefc
c:\windows\system32\drivers\uiusys.sys
c:\windows\system32\drivers\st3mp28.sys
c:\windows\system32\drivers\sptd.sys
c:\docume~1\liyuan\locals~1\temp\_temp.dat
c:\windows\system32\drivers\kb8r.sys
%systemroot%\system32\mshtml.dll
c:\windows\system32\aliedit\pta.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[175b20ecfba82db8 / 175b20ecfba82db8]    <\??\C:\175b20ecfba82db8.dat>
[360TimeProt / 360TimeProt]    <\??\C:\WINDOWS\system32\drivers\360TimeProt.sys>
[3d65faec9a36da1a / 3d65faec9a36da1a]    <\??\C:\3d65faec9a36da1a.dat>
[bzwtur / bzwtur]    <\??\C:\WINDOWS\system32\bzwtur>
[d346bus / d346bus]    <\SystemRoot\system32\DRIVERS\d346bus.sys>
[d346prt / d346prt]    <\SystemRoot\System32\Drivers\d346prt.sys>
[olhefc / olhefc]    <\??\C:\WINDOWS\system32\olhefc>
[Conexant Setup API / UIUSys]    <system32\drivers\UIUSys.sys>
[st3mp28 / st3mp28]    <system32\DRIVERS\st3mp28.sys>
[sptd / sptd]    <\SystemRoot\System32\Drivers\sptd.sys>
[kgeeb / kgeeb]    <\??\C:\DOCUME~1\Liyuan\LOCALS~1\Temp\_temp.dat>
[kb8 / kb8r]    <\SystemRoot\System32\DRIVERS\kb8r.sys>

    系统修复－－　浏览器加载项之如下项删除：
[HTML Document]    <%SystemRoot%\system32\mshtml.dll>
[iTrusPTA Class]    <C:\WINDOWS\system32\aliedit\pta.dll>

从置顶贴内下载ctfmon.exe，覆盖到
C:\WINDOWS\system32

刚去下了个木马群处理程序。用了之后，。瑞星显示监视打开，但是我用WIN清除助手发现2木马（之前杀过好几次。过一会又有Trojan.msosiocp.dosjisn and Trojan.psw.avx）
还有经常出现-可能无用的对象1堆
C:\WINDOWS\AVPSRV.EXE
C:\WINDOWS\CMDBCS.EXE
C:\WINDOWS\DBGHLP32.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\MSELK.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\MSOSFPIDS32.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\MSOSMSFPFIS64.SYS
C:\WINDOWS\SYSTEM32\IJOUGIEMNAW.DLL
C:\WINDOWS\SYSTEM32\INTERNE.EXE
C:\WINDOWS\SYSTEM32\MSOSIOCP.DLL
C:\WINDOWS\SYSTEM32\MSOSMHFP00.DLL
C:\WINDOWS\SYSTEM32\MSOSMHFP01.DLL
C:\WINDOWS\SYSTEM32\NHMXAJKL.DLL
C:\WINDOWS\SYSTEM32\YTEWCXZSW.DLL
C:\WINDOWS\UPXDND.EXE

但是360就没查到。卡卡上网助手查3插件。我用了1键搞定


刚看到回复

使用XDelBox时。除下面文件。其他显示不存在
c:\windows\system32\drivers\360timeprot.sys
c:\windows\system32\drivers\d346bus.sys
c:\windows\system32\drivers\d346prt.sys
c:\windows\system32\drivers\sptd.sys
c:\windows\system32\aliedit\pta.dll
现在我去删

从置顶贴内下载ctfmon.exe，覆盖到
C:\WINDOWS\system32


给个连接行不。没找到。。汗

上面的都做了启动项目 －－ 服务－－ 驱动程序之如下项禁用：这个没有禁用的选项啊

又用清楚助手扫描。1木马。汗

另。使用STENG980时又发现了1隐藏进程，附件传上来了

还有做了以上处理后我的瑞星漏洞扫描1使用就会出现文件下载

类型：FIREFOX DOCUMENT
发送者是：C：\PROGREM FILES\RISING\RAV\SCANBD
AND C;windows\system32\。。。。（好几种DLL）

取消的化。扫描截面就是一片白

附件: SREngLOG.log

置顶贴
http://bbs.ikaka.com/showtopic-8417665.aspx

那都说求助必读了。

估计你以为那里只是常见的版规，不需要看吧

哈哈！！！

这论坛可没别的论坛那多名堂哦。

好东西都在置顶贴呢:default6:

晕死拉，老大你快点回话啊，我现在开卡卡上网助手看网络连接时。都会问要下载LINK。。什么文件。不管怎么点都回出现个框框-RAS。火狐也会不停出现打开那个啥。。。。LINK。文件。除非我直接关了卡卡

下了也覆盖了。。可是老大你叫我删了几个东东后。我现在开好多东西--瑞星。。。清除助手都会出现文件下栽各种各样的。BLANK比较多，掉保存又说IE无法下栽。。。。晕，卡卡助手的网络连接那我更是根本不能看。1点就狂出框框

建议我签名处木马群清理

清理完再去我签名处整个2.6版的SRENG日志发来，打扫残余。

日志传上来了。

还有就是 打开SRENG时，现在出了隐藏进程以外。还出现

入口点错误：CreateProcessA和CreateProcessW
危险等级高:default11:。点修复，下次打开还是一样

附件: SREngLOG.log

这EQ软件难道不是你自己安装的？？？？
==================================
服务
[EQService / EQService][Running/Auto Start]
  <C:\Program Files\EQSecure\EQService.exe><EQSecure>
==================================
驱动程序
[EQSysSecure / EQSysSecure][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\EQSysSecure.sys><EQSecure>
==================================
隐藏进程
    [1569] C:\Program Files\EQSecure\EQService.exe
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[175b20ecfba82db8 / 175b20ecfba82db8][Stopped/Manual Start]
  <\??\C:\175b20ecfba82db8.dat><N/A>

[3d65faec9a36da1a / 3d65faec9a36da1a][Stopped/Manual Start]
  <\??\C:\3d65faec9a36da1a.dat><N/A>

[bzwtur / bzwtur][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\bzwtur><N/A>

[d346bus / d346bus][Running/]
  <2 - 系统找不到指定的文件。
><N/A>

[d346prt / d346prt][Running/]
  <2 - 系统找不到指定的文件。
><N/A>

[kb8 / kb8r][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\kb8r.sys><N/A>

[kgeeb / kgeeb][Stopped/Manual Start]
  <\??\C:\DOCUME~1\Liyuan\LOCALS~1\Temp\_temp.dat><N/A>

[olhefc / olhefc][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\olhefc><N/A>
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

隐藏进程就是EQ软件的。

入口点错误一般可能是防火墙或EQ软件导致。不用管它。

谢谢:default56: 。。补丁我加了。。额。。。我不会看日志。那个EQ好象是超级兔子的魔法盾。。汗

你一说入口点错误可能是防火墙。。我就想到我刚安了一下瑞星防火墙后才冒出来的。。（不过我看放火墙又要收钱= =就删了，刚把金山换成瑞星。就买了1个月先试用下）

瑞星和金山。。我用之后感觉-瑞星耗内存少（这也是我换的原因）。。不过金山操作简单。。。。挺傻瓜的（挺适合我）而且金山防火墙在毒霸里有的。方便点（其实主要是金山是买宽带送的。一分钱不用花。。汗）


再次谢谢帮我解答问题的2位