瑞星卡卡安全论坛

日志太大打发不了 在附件里面  谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

请高手看下 急啊 ，几天多搞不好，高手说的木马批处理几个方案多不行啊

高手快帮忙啊 真急啊 :default11: :default11:

额
好多病毒啊~
头晕了~
安照天月版主的方法不行吗？:default3:
http://bbs.ikaka.com/showtopic-8504511.aspx

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\SYSTEM32\8.EXE
C:\WINDOWS\system32\22.exe

不论删除结果如何继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将 <shell>项目编辑,这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,22.exe,8.exe>  [(Verified)Microsoft Windows Publisher]

就是将 <shell><Explorer.exe,22.exe,8.exe>  的“值”项编辑修改为：

    <shell><Explorer.exe>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{4F4F0064-71E0-4f0d-0015-708476C7815F}><C:\WINDOWS\system32\midimapmy.dll>  [N/A]
    <{4F4F0064-71E0-4f0d-0006-708476C7815F}><C:\WINDOWS\system32\midimapcb.dll>  [N/A]
    <{5FD45A54-9875-698F-E56E-65102358FDF5}><C:\WINDOWS\system32\apsgejba.dll>  [N/A]
    <{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}><C:\WINDOWS\system32\oohxdbyt.dll>  [N/A]
    <{9490415F-65F8-B5C5-D8BA-9405FB120549}><C:\WINDOWS\system32\yzztimsn.dll>  [N/A]
    <{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll>  [N/A]
    <{4F4F0064-71E0-4f0d-0005-708476C7815F}><C:\WINDOWS\system32\midimapzx.dll>  [N/A]
    <{4F4F0064-71E0-4f0d-0017-708476C7815F}><C:\WINDOWS\system32\midimaptl.dll>  [N/A]
    <{4F4F0064-71E0-4f0d-0004-708476C7815F}><C:\WINDOWS\system32\midimapwl.dll>  [N/A]
    <{81954FAC-1023-154F-895A-1458258AD818}><C:\WINDOWS\system32\ypdjfbmp.dll>  [N/A]
    <{4F4F0064-71E0-4f0d-0012-708476C7815F}><C:\WINDOWS\system32\midimapjr.dll>  [N/A]
    <{528DF602-9541-A985-210A-984A698C6F25}><C:\WINDOWS\system32\ptjhehlp.dll>  [N/A]
    <{22596546-2036-9451-6058-658402589722}><C:\WINDOWS\system32\opshbbty.dll>  [N/A]
    <{5A069845-2036-6084-9054-6087502480A5}><C:\WINDOWS\system32\ozfyebyt.dll>  [N/A]
    <midimapmy><C:\WINDOWS\system32\midimapmy.dll>  [N/A]
    <midimapcb><C:\WINDOWS\system32\midimapcb.dll>  [N/A]
    <midimapzx><C:\WINDOWS\system32\midimapzx.dll>  [N/A]
    <midimaptl><C:\WINDOWS\system32\midimaptl.dll>  [N/A]
    <midimapwl><C:\WINDOWS\system32\midimapwl.dll>  [N/A]
    <midimapjr><C:\WINDOWS\system32\midimapjr.dll>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项，将启动类型改为“Disabled”
==================================
驱动程序
[HiddFldy / HiddFldy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\d32dx9.sys><N/A>

[IIS Manager  / IIS Manager ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {22596546-2036-9451-6058-658402589722} <C:\WINDOWS\system32\opshbbty.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5FD45A54-9875-698F-E56E-65102358FDF5} <C:\WINDOWS\system32\apsgejba.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
[]
  {22596546-2036-9451-6058-658402589722} <C:\WINDOWS\system32\opshbbty.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {4FD45A54-9875-698F-E56E-65102358FDF4} <C:\WINDOWS\system32\apsgdjba.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5FD45A54-9875-698F-E56E-65102358FDF5} <C:\WINDOWS\system32\apsgejba.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

他提供的清理软件下不了啊

什么唉
我5楼说的你做了没？？？

在扫日志的SRENG工具》启动项目》注册表》里将 <shell>项目编辑,这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,22.exe,8.exe>  [(Verified)Microsoft Windows Publisher]

就是将 <shell><Explorer.exe,22.exe,8.exe>  的“值”项编辑修改为：

    <shell><Explorer.exe>
————————————————————————————
这不会操作  找不到浏览器加载项
[]
  {22596546-2036-9451-6058-658402589722} <C:\WINDOWS\system32\opshbbty.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5FD45A54-9875-698F-E56E-65102358FDF5} <C:\WINDOWS\system32\apsgejba.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
[]
  {22596546-2036-9451-6058-658402589722} <C:\WINDOWS\system32\opshbbty.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {4FD45A54-9875-698F-E56E-65102358FDF4} <C:\WINDOWS\system32\apsgdjba.dll, N/A>
[]
  {528DF602-9541-A985-210A-984A698C6F25} <C:\WINDOWS\system32\ptjhehlp.dll, N/A>
[]
  {5A069845-2036-6084-9054-6087502480A5} <C:\WINDOWS\system32\ozfyebyt.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5FD45A54-9875-698F-E56E-65102358FDF5} <C:\WINDOWS\system32\apsgejba.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {81954FAC-1023-154F-895A-1458258AD818} <C:\WINDOWS\system32\ypdjfbmp.dll, N/A>
[]
  {9490415F-65F8-B5C5-D8BA-9405FB120549} <C:\WINDOWS\system32\yzztimsn.dll, N/A>
这找到一小部分  别的没找到
瑞星还是开不了啊

搞了半天 重启了N次
再来扫描一下日志
请高手继续分析

日志呢？？

换我签名处的2.6版的SRENG日志来

直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

（同时注意SRENG工具的入口点提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

那请高手看看这个日志 谢谢

附件: SREngLOG.log

你的签名下的文件过期了 下不了 先把我这扫描的日志撮合一下

你系统里这三文件，去复制到桌面，压缩在一起，发来看看，不知道还是不是系统文件了
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\userinit.exe

杀毒软件的异常，我不是说了要卸载重装吗？？

你没去卸载？

这是无法抗拒的，你尝试去开始菜单找瑞星的“添加删除组件”选择“修复”试试。

还不行，就一定得重装杀毒软件了。

至于你那序列号和ID号，实在找不到，可能需要找个工具弄了。

我签名处工具又过期了？？

没过期唉

我又下载运行了呀

正常启动唉

你再试试呢

系统文件都穿了..
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\system32\userinit.exe

会重装建议重装..
现在应该连复制粘贴都不能用..

瑞星下了就没了ID没的了，修复了N次多没的用啊 搞了个毒霸就杀了一个马
看来的重下瑞星了
你要的三个文件只能找到两个 还又一个找不到了

附件: 桌面.rar

我就是不想重装啊 现在一有病毒瑞星杀不掉啊 老重装 真急
现在就是没的系统盘最好能搞好就不要重装了
复制什么多还好 就是不让打开我的文件，说是什么杀毒软件不允许打开
杀毒软件现在可以开了就是不好杀毒和升级，说是什么不可以READ
真急

C:\WINDOWS\Explorer.EXE这文件，你找不到？？？

用解压工具WinRAR依路径打开找

不可能找不到的

谢谢 找到了

附件: explorer.rar

这有用吗？

附件: explorer.rar

瑞星修复老是提示 瑞星通用库错误  没办法修复
看来的重装了
以前买的瑞星那本书找不到了 真急 ID还在上面
不知道有没办法找啊

没用了

不支持2009的了

谢谢 找到了 在下新瑞星