瑞星卡卡安全论坛

今天上机开网页查资料,瑞星提示有恶意代码要通过,我点了阻止,而且马上关闭网页,但是重新启动后,瑞星监控关闭,重新进入安全模式去杀毒,瑞星也启动不了.

以下是日志附件:

附件: SREngLOG.log

请各位看附件,谢谢了.

请各位看附件,谢谢了.

请各位看附件,谢谢了.

请各位看附件,谢谢了.

请各位看附件,谢谢了.

日志放附件里上传
这能看？:default3:

好的，对不起。请稍等。

还是看吧，你要累死我呀
操作方法见我的签名：手工杀毒操作方法
楼主不看版规:default3:
修改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,22.exe>  [(Verified)Microsoft Windows Component Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
改为
    <shell><Explorer.exe,>  [(Verified)Microsoft Windows Component Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下注册表项目及<>内DLL文件
<{00230023-0023-0023-0023-00230023BB15}><C:\WINDOWS\system32\rasdlgcq.dll>  []
    <{00050005-0005-0005-0005-00050005BB15}><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}><C:\WINDOWS\system32\dndsaf.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  []
    <{00150015-0015-0015-0015-00150015BB15}><C:\WINDOWS\system32\fssgqcox.dll>  []
    <{00120012-0012-0012-0012-00120012BB15}><C:\WINDOWS\system32\kbdswjr.dll>  []
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  []
    <{00030003-0003-0003-0003-00030003BB15}><C:\WINDOWS\system32\bootvidgj.dll>  []
    <{00010001-0001-0001-0001-00010001BB15}><C:\WINDOWS\system32\adsntzt.dll>  []
    <{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll>  []
    <{00250025-0025-0025-0025-00250025BB15}><C:\WINDOWS\system32\slbiopfs2.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{000F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下注册表项目及<>内DLL文件
  <rasdlgcq.dll><C:\WINDOWS\system32\rasdlgcq.dll>  []
    <cliconfgzx.dll><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <fegiijml.dll><C:\WINDOWS\system32\fssgqcox.dll>  []
    <kbdswjr.dll><C:\WINDOWS\system32\kbdswjr.dll>  []
    <bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll>  []
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  []
    <imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll>  []
    <slbiopfs2.dll><C:\WINDOWS\system32\slbiopfs2.dll>  []
    <fssgqcox.dll><C:\WINDOWS\system32\fssgqcox.dll>  []
删除启动文件夹
[explorer]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe -->  [File is missing]><N>
删除驱动
HiddFldy / HiddFldy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\d32dx9.sys><N/A>
删除病毒主文件
C:\WINDOWS\system32\22.exe

请问大哥,以上操作是要在安全模式下吗?是用SRENG还是冰刃?

小妹对于电脑有点一知半解.如果可能,麻烦大哥给个具体的操作步骤.

实在不好意思.

在sreng里修改注册表
删除文件用下面的附件
添加文件路径后
选中所有添加过的文件
右键重启删除

附件: XDelBox_1.7支持奥运版.rar

删除
c:\windows\system32\ezcronk.exe

c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dndsaf.dll
c:\windows\system32\fegiijml.dll
c:\windows\system32\fssgqcox.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\slbiopfs2.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\zycdex.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\rasdlgcq.dll

22.exe
c:\windows\system32\d32dx9.sys
c:\docume~1\admini~1\locals~1\temp\1.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[AppInit_DLLs]修改：把<NTNSDKWOW.dll ezcron.dll longasus.dll mssete.dll fackwir.dll welycz.dll joasuse.dll offeceo.dll ceshleo.dll,ieprot.dll>修改为<>即清空
注意该项[shell]修改：把<Explorer.exe,22.exe>修改为<Explorer.exe>即清除Explorer.exe后面的内容

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[HiddFldy / HiddFldy]    <\??\C:\WINDOWS\system32\d32dx9.sys>
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>

觉得c:\documents and settings\all users\「开始」菜单\程序\启动\explorer.exe有问题

[PID: 3548 / Administrator][C:\WINDOWS\system32\28.exe]  [N/A, ]
删除28.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <initnyuser><C:\WINDOWS\system32\inf\svchosd.exe C:\WINDOWS\wftadfi16_080703a.dll tanlt88>  [File is missing]
这个不知道是什么 。。。

按照各位大哥的提示操作以后。现在有如下情况；

1、确实如开心101大哥所说，c:\documents and settings\all users\「开始」菜单\程序\启动\explorer.exe似乎是有问题，启动后每次会弹出c:\documents and settings\all users\「开始」菜单\程序\启动\explorer.exe的MS-DOS界面框，且提示“NTVDM  CPU遇到无效指令”，请问如何解决？

2、瑞星仍然无法运行。只要点击杀毒，就会提示‘应用程序错误’。

日志再扫一份上来看看

以上各位哥哥姐姐说的那些该删除的文件以及可疑文件确实都是病毒,我已经都删除了,注册表也修复了.瑞星也修复了.
修复后杀出了一些遗留病毒和感染文件,现在应该没问题了.
不过为了保险起见,我又扫描了一份日志,各位再看看,如果确实没问题,请给一个明确答复.
最后再次感谢大家,真的十分感谢.

下面是新日志附件:

附件: SREngLOG.log (2008-7-20 18:31:23, 43.37 K)
该附件被下载次数 164

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{00230023-0023-0023-0023-00230023BB15}><C:\WINDOWS\system32\rasdlgcq.dll>  [File is missing]
    <{00050005-0005-0005-0005-00050005BB15}><C:\WINDOWS\system32\cliconfgzx.dll>  [File is missing]
    <{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}><C:\WINDOWS\system32\dndsaf.dll>  [File is missing]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  [File is missing]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  [File is missing]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  [File is missing]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  [File is missing]
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  [File is missing]
    <{00150015-0015-0015-0015-00150015BB15}><C:\WINDOWS\system32\fssgqcox.dll>  [File is missing]
    <{00120012-0012-0012-0012-00120012BB15}><C:\WINDOWS\system32\kbdswjr.dll>  [File is missing]
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  [File is missing]
    <{00030003-0003-0003-0003-00030003BB15}><C:\WINDOWS\system32\bootvidgj.dll>  [File is missing]
    <{00010001-0001-0001-0001-00010001BB15}><C:\WINDOWS\system32\adsntzt.dll>  [File is missing]
    <{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll>  [File is missing]
    <{00250025-0025-0025-0025-00250025BB15}><C:\WINDOWS\system32\slbiopfs2.dll>  [File is missing]
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [File is missing]
    <{000F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <rasdlgcq.dll><C:\WINDOWS\system32\rasdlgcq.dll>  [File is missing]
    <cliconfgzx.dll><C:\WINDOWS\system32\cliconfgzx.dll>  [File is missing]
    <fegiijml.dll><C:\WINDOWS\system32\fssgqcox.dll>  [File is missing]
    <kbdswjr.dll><C:\WINDOWS\system32\kbdswjr.dll>  [File is missing]
    <bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll>  [File is missing]
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  [File is missing]
    <imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll>  [File is missing]
    <slbiopfs2.dll><C:\WINDOWS\system32\slbiopfs2.dll>  [File is missing]
    <fssgqcox.dll><C:\WINDOWS\system32\fssgqcox.dll>  [File is missing]
这几项可以从启动项目-->注册表 删除了

文件关联 修复一下

谢谢哥哥,都删除了,之前,在模块删除以后,在SERNG注册表里已经修改了.后来我用瑞星卡卡查看残留痕迹,都是些浏览器钩子.我也清除了.

最后再次谢谢大家.