瑞星卡卡安全论坛

求助：电脑中了AV终结者变种Z 怎么处理？
电脑中了AV终结者变种Z，通过用专杀 查出 AV终结者变种Z 和Broken_Safeboot  2个病毒
扫描完毕 重启还是存在 继续扫描 情况一样
瑞星杀毒软件已经不能用了，但放火墙好用，



部分反病毒网站上不去自动跳到YAHOO搜索 ，开启瑞星网上杀毒也自动跳转到YAHOO搜索

另外按照如下操作，即使改名为123。com,并复制到c:\windows目录下运行 也无任何反应，打不开，同样被屏蔽，请问高手，这该怎么办呢？
1、下载后解压缩，运行SREngLdr.EXE；
2、如果无法打开尝试把SREngLdr..EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。


现在连扫描日志的办法都没有了？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

用卡卡助手扫描个日志（注意勾选“文件详细信息”后再扫描），上传日志附件

游戏迷：
      现在卡卡用不了，瑞星杀毒用不了，只有瑞星防火墙还坚守在岗位上（尚不知道是不是在正常工作）。还有没有别的办法了？

下载附件，解压缩后运行，扫描个日志，保存日志为TXT格式，上传日志附件。

360安全卫士、hijackthis或autoruns等工具都可以扫描日志……

附件: RsDetect.rar

我扫描了一下日志，麻烦高手帮忙诊断一下，谢谢了！

附件: 瑞星听诊信息.rar

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
c:\windows\system32\ltj.dll
c:\windows\system32\dlb.dll
c:\windows\system32\pxn.dll

不论删除结果如何立即重启电脑，再尝试我签名处整个2.6版的SRENG日志来打扫残余

如果费尔也不能启动

请尝试下面二个工具删除试试：

这里下载TFiles 1.0 顽固木马病毒专用删除工具
http://www.fileden.com/files/2008/1/20/1709216/TFiles.rar
操作说明：
http://hi.baidu.com/peaset/blog/item/e2f7237ae34b2ce92f73b397.html

这里下载360文件粉碎工具，删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html

天月：
    费尔能够打开，我照你所说，删除那3项后重起，但是SRENG2.6还是被屏蔽，打不开。我再用费尔尝试删除这3项，c:\windows\system32\ltj.dll    （重起电脑后清除）
c:\windows\system32\dlb.dll（显示文件不存在）
c:\windows\system32\pxn.dll（显示文件不存在）
第一个反复几次都这样，而且我也选择了抑制文件再生成！

请问再怎么办好呢？

还是听诊器日志来呗

可能还有新的出来了呗

删除文件时要选抑制再生选了没？

我重新扫描了一遍，请看附件！

那两个我也尝试了一下，360直接引到雅虎搜索，而TFiles 1.0 顽固木马病毒专用删除工具下载下来后打不开。

附件: 瑞星听诊信息.rar

费尔再来
删除：
c:\windows\system32\ltj.dll
c:\windows\system32\77636.dat

呵呵！！！

删完立即重启电脑，我就不信了，小样，还整不了你:default9:

记得签名处2.6版的SRENG日志弄个来:default9:

C:\DOCUMENTS AND SETTINGS\CHUPENG\桌面\XIAOXIAO.EXE

D:\PROGRAM FILES\RISING\RISING\RFW\IJT_BASE.DLL
D:\PROGRAM FILES\RISING\RISING\RFW\OLEMON.DLL
C:\WINDOWS\SYSTEM32\77360.DAT
C:\WINDOWS\SYSTEM32\LTJ.DLL

是不是应该看这里吧？你看，它又变成了77360.DAT了，就是LTJ.DLL这个家伙阴魂不散。治不了根似的。痛苦！

你设法停止所有非系统盘的软件的自启动

然后再去删除：

C:\WINDOWS\SYSTEM32\77360.DAT
C:\WINDOWS\SYSTEM32\LTJ.DLL

实在不行，用瑞星主动防御去禁止C:\WINDOWS\SYSTEM32\LTJ.DLL文件的启动、读取、和删除、修改

关于主动防御禁止程序或文件被读取、修改、启动、删除等操作，这里去看看：
http://bbs.ikaka.com/showtopic-8370526.aspx

你删除文件时到底有没抑制再生？？？

你试着用360的粉碎工具抑制再生删除试

这个C:\WINDOWS\SYSTEM32\LTJ.DLL实际一直在内存驻留

你可以看我这贴，设法卸除内存中的这个C:\WINDOWS\SYSTEM32\LTJ.DLL
它插入好几个进程中。

http://bbs.ikaka.com/showtopic-8442813.aspx

看你理解动手能力了

呵呵！！！！！

这时你可以将SRENG工具改名为123.exe，然后将这123.exe复制到系统盘根目录，
例如C盘根目录，
接着在“开始菜单”的“运行”里输入  C:\123.exe /escan  确定后，就会在后台无窗口的情况下扫描日志，
并默认自动保存在系统当前用户原默认的桌面中，如果你的桌面已不是在系统盘，而是被移动到非系统盘，此时你可能只有全机搜索SREngLogEm.LOG这个文件了。

完全按照这个办法执行，包括在输入C:\123.exe /escan  中间的空格也没有遗漏，但是并没有象想象中在后台运行，也同样搜索不到SREngLogEm.LOG这个文件。

我发现了，能够启动起SRENG工具是删除这个病毒的关键了，可是我真的不知道该怎样能办了，改过很多名字尝试都不行，不能把LTJ.DLL从内存中删除，能不能再指点一下？谢谢天月了，您辛苦了！

能否找张PE的光盘。在PE的环境下试试？

天月：
  我通过查看日志，把所有有LTJ。DLL的进程全结束进程了，然后用普尔删除LTJ.DLL。重起后能够打开SRENG了，我也扫描了一下，您现在在帮忙看看吧？谢谢了

附件: SREngLOG.log

先下载工具：
windows清理助手下载：http://www.arswp.com/download.html
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.7支持奥运版。
清理临时文件工具ATF-Cleaner-cn下载：http://www.lx2lqq.com.cn/attachment.php?fid=34
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\windows\system32\eawkp\lsass.exe
c:\windows\system32\gjbhr.dll
c:\windows\system32\hjk.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\njritc.dll
c:\windows\system32\lymangr.dll
c:\xiaoxiao.exe
c:\windows\system32\lyloader.exe
c:\windows\system32\lyloadbr.exe
c:\windows\system32\lyleador.exe
c:\windows\system32\lyloador.exe
c:\windows\system32\lyloadar.exe
c:\windows\system32\lyloadmr.exe
c:\windows\system32\lyloadhr.exe
c:\windows\system32\lyloadqr.exe
c:\windows\system32\eawkp\lsass.exe
c:\windows\system32\ltj.dll
c:\windows\system32\drivers\nicomsp2p32.sys
c:\docume~1\chupeng\locals~1\temp\tmp163.tmp
c:\windows\system32\drivers\machobus.sys
c:\documents and settings\all users\application data\kaspersky anti-virus personal\5.0\bases\klstm.sys
c:\documents and settings\all users\application data\kaspersky anti-virus personal\5.0\bases\ids0005c.sys
c:\documents and settings\all users\application data\kaspersky anti-virus personal\5.0\bases\ids00035.sys
c:\windows\system32\cdcd.sys
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，将以下项删除：
[MSDEG32]    <LYLoader.exe>
[MSDWG32]    <LYLoadbr.exe>
[MSDCG32    ]    <LYLeador.exe>
[MSDOG32]    <LYLoador.exe>
[MSDSG32]    <LYLoadar.exe>
[MSDMG32]    <LYLoadmr.exe>
[MSDHG32]    <LYLoadhr.exe>
[MSDQG32]    <LYLoadqr.exe>
[N/A]    <C:\WINDOWS\system32\eawkp\lsass.exe /t>
[qyo]    <C:\WINDOWS\system32\ltj.dll>
[IFEO[360rpt.exe]]    <ntsd -D>
[IFEO[360SAFE.exe]]    <ntsd -D>
[IFEO[360safebox.exe]]    <ntsd -D>
[IFEO[360tray.exe]]    <ntsd -D>
[IFEO[CCenter.exe]]    <ntsd -D>
[IFEO[KPPMain.exe]]    <ntsd -D>
[IFEO[KWatch.exe]]    <ntsd -D>
[IFEO[QQDoctor.exe]]    <ntsd -D>
[IFEO[QQKav.exe]]    <ntsd -D>
[IFEO[RavMon.exe]]    <ntsd -D>
[IFEO[RavMonD.exe]]    <ntsd -D>
[IFEO[safeboxTray.exe]]    <ntsd -D>
[IFEO[tqat.exe]]    <ntsd -d>
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，编辑以下项：
注意：一定不要删除这些项，更改其值即可！这一步建议将杀毒软件监控先关闭，否则可能操作失败！
[AppInit_DLLs]修改：把<hjk.dll,gjbhr.dll,ilkyu.dll,yukevg.dll,sergy.dll,ergfwe.dll,hffgth.dll,tyjert.dll,rthkyuk.dll,jkjkll.dll,ghjyer.dll,kergt.dll,fgthde.dll,losdf.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,wergjuk.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,grgrjj.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,>修改为<>即清空
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[msp2p32 / msp2p32]    <\??\C:\WINDOWS\system32\drivers\nicomsp2p32.sys>
[mhap / mhap]    <\??\C:\DOCUME~1\chupeng\LOCALS~1\Temp\tmp163.tmp>
[macho Bus / machobus]    <\SystemRoot\system32\DRIVERS\machobus.sys>
[klstm / klstm]    <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys>
[ids0005c / ids0005c]    <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys>
[ids00035 / ids00035]    <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00035.sys>
[Cdsys / Cdsys]    <\??\C:\WINDOWS\system32\cdcd.sys>
[Cdsys / Cdsys]    <\??\C:\WINDOWS\system32\cdcd.sys>
———————————————————————————————————————
打开SREng，选择【系统修复】-【HOSTS文件】，点击【重置】；
———————————————————————————————————————
使用刚下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
使用刚下载的“Windows清理助手”清理你的系统。
———————————————————————————————————————

还是大版主好

我回来了，十分感谢本版的所有好心人！天月，lqqk7，以及子艳……！经过接近一天的努力，我终于把病毒拿下了，其实中间有几次我是徘徊在重装系统的边缘，是你们给了我帮助，轻松的清楚病毒，给你们添麻烦了，在此，再次表示衷心的感谢！！
接下来，我的瑞星防火墙好了，但是瑞星杀毒软件一直不好，于是我到网上重新下载了08版，但是安不上，系统提示需要删除原来版本，我用控制面板的删除，提示已经删除或改变，于是用windows优化大师卸载，优化大师就未响应，最后我手动把所有文件都删除掉，只剩下RsCommon.dll这一个文件删除不了，是不是删除掉这一个就可以重新安装了？还有没有别的办法呢？

试试重装么

如果重装不行，抓提示不行的图来看

还有再来个2.6版的SRENG日志，看看到底处理的怎样么

刚才好一阵卡，都打不开网页，重起了一下，我传上日志，有劳再诊断诊断！：）

附件: SREngLOG1.log

看不出什么了

如果还卡，就找机会重弄个系统吧

终于搞定了，真的很感谢斑竹们及热心的朋友们，谢谢！我重下的瑞星，用了俩小时查出54个病毒，真让这个病毒吓着了，以Trojan.PSW.Win32.GameOL.nyf 　及RootKit.Win32.Mnless.sw这两种病毒及其变种居多，散布在多个文件夹中。