瑞星卡卡安全论坛

瑞星无法启动，任务管理器无法启动，中英文输入无法切换，重新启动死机，速度奇慢。。。。
电脑还有急用阿！3Q!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.txt

系统的输入法程序这个被替换了
删除以下启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下注册表项目及<>内文件
  <SoundMan><SoundMan.exe>  [1]
    <HBmhly><"C:\WINDOWS\system32\HBmhly.exe" -r>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下注册表项目及<>内文件
  <kcien32><kcien32.exe>  []
修改注册表项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><nmsdjh.dll,hrafh.dll,bsnfhs.dll,gaffg.dll,snszh.dll,zdhere.dll,klsf.dll,jsdfa.dll,hjsz.dll,cgfhr.dll,aghmxd.dll,sdfrbt.dll,jkzsgf.dll,dghagc.dll,dfgwag.dll,fgjd.dll,xfnh.dll,bgyu.dll,xdrhcj.dll,zsrdygx.dll,dfhvk.dll,xdfthjh.dll,cvbtfs.dll,cgydj.dll,zsdgrgh.dll,fghdd.dll,bgcjty.dll,dbgj.dll,xcfgh.dll,cvnghk.dll,vgxdcg.dll,chjg.dll,vnfxd.dll,nbmfu.dll,xdbjy.dll,vbjxbnm.dll,xgngj.dll,cxvbh.dll,fgjt.dll,cnbv.dll,cvnhk.dll,vgjzrg.dll,cvjdfh.dll,sdfhk.dll,gmnait.dll,xdbnm.dll,xbnft.dll,myuf.dll,hkxddrh.dll,aserg.dll,zdfgf.dll,bnmdgh.dll,bxdfh.dll,cncft.dll,cfjzsxn.dll,dfbghj.dll,dgbzd.dll,nhjsd.dll,hjmasd.dll,xbfhxd.dll,bngyjuf.dll,xdgxr.dll,bnmft.dll,xcvgu.dll,szggfj.dll,zsggixd.dll,bnhugk.dll,xdhuk.dll,dxgjgfy.dll,fgjderg.dll,asfhjy.dll,swegfuj.dll,cxfhf.dll,hjukrt.dll,dhdhvv.dll,vdfthjk.dll,xdfrg.dll,zsgjfh.dll,cvbyj.dll,nmxdt.dll,bhdryn.dll,nbkfy.dll,xsdjd.dll,xuxdg.dll,nmdgkn.dll,xdhts.dll,vcnyd.dll,zsdth.dll,>  []
改为 <AppInit_DLLs><>
删除以下启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下注册表项目及<>内文件
    <{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}><C:\WINDOWS\system32\dndsaf.dll>  []
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  []
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  []
<{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}><C:\WINDOWS\system32\dndsaf.dll>  []
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  []
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  []
    <{D47A61B8-0EAB-417F-8DF4-5C949982A2AF}><C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys>  [File is missing]
    <{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll>  []
    <{11dd57d5-32bb-4790-83cf-6b421fb4e7ec}><C:\WINDOWS\system32\MMBAIKOK1101.dll>  []
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  []
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  []
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  []
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll>  []
    <{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zefdst.dll>  []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  [File is missing]
    <{4a2f6d02-2641-4341-9db6-543e486847c9}><C:\WINDOWS\system32\MMQACNAR1070.dll>  []
    <{00ED0F3B-D53B-4DBF-BB20-8DFBC3176068}><C:\WINDOWS\system32\jbgyer.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll>  [File is missing]
    <{1c0f1519-297a-4c5c-a27b-f2d43e8c6597}><C:\WINDOWS\system32\MMHADPQG1100.dll>  []
    <{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll>  [File is missing]
    <{00010001-0001-0001-0001-00010001BB15}><C:\WINDOWS\system32\adsntzt.dll>  []
删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下
注册表项目及<>内文件
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  []

用附件清除所有映像劫持项

并删除驱动及驱动对应文件
[aaaaaa / aaaaaa][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aaaaaa.sys><N/A>
[aaaaaaa / aaaaaaa][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aaaaaaa.sys><N/A>
[aaaabbb / aaaabbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aaaabbb.sys><N/A>
[aaabbb / aaabbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aaabbb.sys><N/A>
[aabbbbb / aabbbbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aabbbbb.sys><N/A>
[bbbbb / bbbbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\bbbbb.sys><N/A>
[bbbbbb / bbbbbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\bbbbbb.sys><N/A>
[bbbbbbb / bbbbbbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\bbbbbbb.sys><N/A>
[bbbboo / bbbboo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\bbbboo.sys><N/A>
[bbooooo / bbooooo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\bbooooo.sys><N/A>
[BdGuard / BdGuard][Stopped/Disabled]
  <\SystemRoot\system32\drivers\BDGuard.SYS><N/A>
[booooo / booooo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\booooo.sys><N/A>
[ccccc / ccccc][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ccccc.sys><N/A>
[ccccccc / ccccccc][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ccccccc.sys><N/A>
[ccccxxx / ccccxxx][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ccccxxx.sys><N/A>
[ccxxxxx / ccxxxxx][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ccxxxxx.sys><N/A>
[Hdv32 / Hdv32][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\Hdv32_c.sys><N/A>
[ooooo / ooooo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ooooo.sys><N/A>
[oooooo / oooooo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\oooooo.sys><N/A>
[ooooooo / ooooooo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ooooooo.sys><N/A>
[oooooooo / oooooooo][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\oooooooo.sys><N/A>
[oooooop / oooooop][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\oooooop.sys><N/A>
[ooooopc / ooooopc][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ooooopc.sys><N/A>
[ooopppp / ooopppp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ooopppp.sys><N/A>
[ooppp / ooppp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ooppp.sys><N/A>
[pppppc / pppppc][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\pppppc.sys><N/A>
[ppppppp / ppppppp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ppppppp.sys><N/A>
[qqqqq / qqqqq][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\qqqqq.sys><N/A>
[qqqqqqq / qqqqqqq][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\qqqqqqq.sys><N/A>
[qqqqqqrr / qqqqqqrr][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\qqqqqqrr.sys><N/A>
[qqrrrrr / qqrrrrr][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\qqrrrrr.sys><N/A>
[qrrrrrr / qrrrrrr][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\qrrrrrr.sys><N/A>
[raaaaaa / raaaaaa][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\raaaaaa.sys><N/A>
[rabbbbb / rabbbbb][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\rabbbbb.sys><N/A>

[rrraaaa / rrraaaa][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\rrraaaa.sys><N/A>
[rrrrrr / rrrrrr][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\rrrrrr.sys><N/A>
[rrrrrrr / rrrrrrr][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\rrrrrrr.sys><N/A>
[xpydoq / xpydoq][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\xpydoq.sys><N/A>
[xxxxxx / xxxxxx][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\xxxxxx.sys><N/A>
[xxxxxxx / xxxxxxx][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\xxxxxxx.sys><N/A>
[xxxxxxy / xxxxxxy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\xxxxxxy.sys><N/A>
[xxxxyyy / xxxxyyy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\xxxxyyy.sys><N/A>
[xyyyyyy / xyyyyyy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\xyyyyyy.sys><N/A>
[yyyyy / yyyyy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyyyy.sys><N/A>
[yyyyyy / yyyyyy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyyyyy.sys><N/A>
[yyyyyyy / yyyyyyy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyyyyyy.sys><N/A>
[yyyyyzz / yyyyyzz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyyyyzz.sys><N/A>
[yyyyzqq / yyyyzqq][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyyyzqq.sys><N/A>
[yyzzz / yyzzz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyzzz.sys><N/A>
[yyzzzzz / yyzzzzz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\yyzzzzz.sys><N/A>
[Gamtec USB PC Camera / ZSMC301b][Running/Manual Start]
  <System32\Drivers\usbVM31b.sys><VM>    这个驱动程序是摄像头的，别删
[zzqqqqq / zzqqqqq][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\zzqqqqq.sys><N/A>
[zzzzqqq / zzzzqqq][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\zzzzqqq.sys><N/A>
[zzzzz / zzzzz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\zzzzz.sys><N/A>
[zzzzzz / zzzzzz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\zzzzzz.sys><N/A>
[zzzzzzz / zzzzzzz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\zzzzzzz.sys><N/A>
[HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>
[aabbbb / aabbbb][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aabbbb.sys><N/A>
删除浏览器加载项
[]
  {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} <C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys, N/A>

附件: 机器狗&映像劫持修复工具.rar

删除system32下的
ctfmon.exe
这是病毒的替换文件

附件是正常的
放入system32文件夹吧

删除文件
C:\456.EXE
C:\WINDOWS\system32\HBmhly.exe
C:\WINDOWS\system32\wuauclt.exe
第一个一定删除
第二三个
自己测下http://www.virscan.org/
很可疑

附件: ctfmon.rar

试试木马群专杀吧:

http://download.rising.com.cn/zsgj/RepairTool.exe

建议重装系统

提醒小狮子：
[PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\nmsdjh.dll]  [N/A, ]
    [C:\WINDOWS\system32\hrafh.dll]  [N/A, ]
    [C:\WINDOWS\system32\cvnghk.dll]  [N/A, ]
    [C:\WINDOWS\system32\zdfgf.dll]  [N/A, ]

winlogon.exe进程中插了4个病毒DLL。应该提醒求助者如何处理这个问题。否则，病毒删不净。

镜像劫持了  ？？？
与其花时间去修复 不如去重装吧 可以去买个雨林系统盘或者其他的克隆盘
装机速度快些

用xdelbox的重启后删除:default6:

还有猫叔惯用的软件限制策略:default5:

清理IFEO
替换回输入法后

使用WINDOWS清理助手
  (点击下载)

解压后运行，点击左下角切换到完整模式
清理相关－自定义对象
点击导入附件的INI文件






然后按下图定制扫描





即可删除了

附件: ikaka.rar

郁闷！重装系统也装不了，雨林番茄都试过了，不是死机就是文件没找到，我现在手上只有番茄XP,怎么办呢？

找专家
看看按照我的方法清除病毒行不？
操作方法
见http://bbs.ikaka.com/showtopic-8442813.aspx

那些启动项里兰的红的脏东西删了还会冒出来

删了按Reset按键立马重启计算机上
或试试这个吧死马当活马医
这个计算机中的毒
能上报吉尼斯世界纪录了:default2:

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

重装了系统，可是用瑞星全盘杀毒在查杀C盘时死机（D,E盘可以查杀）！不知道电脑里还有没有毒？请大虾再看下扫描文件，谢了

附件: SREngLOG.log

正常了
瑞星查杀死机？
哪个文件？
是压缩文件不？
PS：1.http://bbs.ikaka.com/showtopic-8508653.aspx
这个
楼主注意下
2.用杀毒软件和卡卡上网助手赶紧打补丁
修复系统漏洞（[雨林木风本身漏洞比较多）

死机时好象每次查杀的文件都不同,最近一次是C:\WINDOWS\ime\jpwb\Uninstall.dll,升级防火墙时也死了一次!是不是还有病毒?

Uninstall.dll
用WinRAR压缩，打包上传我看看

精品五笔?

附件: Uninstall.rar

现象描述：
用瑞星杀毒软件，全盘扫描的时候死机。

问题分析：可能是病毒原因或者是某个文件多次压缩、加壳导致的。

分为2种情况：
前提是杀毒软件已经升级到最新版本。

a.如果是一点击杀毒马上就死机，建议进入安全模式下全盘杀毒（进安全模式方法：重启电脑点击F8)。

b.如果是在杀毒过程中电脑死机，可以看下是扫描到了哪个文件。如果是不重要的文件，将其删除掉后全盘杀毒。如果对该文件不了解，可以将这个文件压缩后上报瑞星分析。

上报地址： http://up.rising.com.cn/webmail/pcnew.htm
上报时说明具体情况：
1、扫描卡死的文件是否固定；扫描卡死时的文件是哪个；如果能找到这个文件，压缩后上报。
2、扫描卡死的故障是否有规律；是否会固定百分比时卡死；

前几次启动瑞星软件时他提示"进程C:\WINDOWS\EXPLORER.EXE触发了API类规则",啥意思?

http://bbs.ikaka.com/showtopic-8406410.aspx
重装系统还不行？
备份重要资料
重分区重装吧

装纯净版的系统