很猛的毒．．弄了一晚上了，求助大人们～［有日志］ bbs.ikaka.com

besihary - 2008-7-29 5:58:00

饿．．．今天身中奇毒了．．．真是长见识了～～
不小心点到了弹窗所致．．．特来向论坛的各位老师求助～现在电脑主要表现如下：（真够多的）
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－华丽的一刀
１．瑞星已经投降，所有监控关闭不能打开（小红伞），可以打开软件本身，但是，如果把鼠标移到＂全盘杀毒＂按钮上，瑞星立即报错弹出．也就是说，杀不了毒了．
卡卡和防火墙还在坚持斗争，不过不知道其功能有没有正常工作．．．
２．任务栏已经没有了，也就是说任何东西一旦最小化就看不到了，只能用ALT+TAB切．．．与此同时，右下角的小图标也都没了．
３．文件已经不能拖动，拖动文件没有任何反映．更糟糕的是连剪切复制粘贴的功能也都瘫痪了．
４．声音．．．没了．windows防火墙．．．没了．
５．C盘各处出现了许多奇怪的文件，虽然知道不是好东西，但是也删不了，总是＂该文件正在使用＂拒删．同时系统里一下多了好多流氓软件，我已读经用工具删掉了．
６．这个时候重启了电脑．．．瑞星开机杀毒（windows外那个）杀出了一个rootkit．．．啊！重启非常地慢，所有症状一如既往，而且又增加了一个要命的问题：一开IE就自动关闭，根本看不见IE一秒，用各种傻瓜型IE一键修复工具修复皆无解．这下连网上求援都有问题了．
７．有一个进程很奇怪，时有时无．．．监控之，发现它从A1开始变化，下次出现变为A2,再下次然后A3，一直在增加．．．重启了之后又没了．
７．以上问题在安全模式中仍然存在．
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－美丽的一刀
我在这个晚上用尽了所有常规手段之后，用另一台可以上网的电脑下载了好多专杀工具搬过去杀，毒是杀出来不少，可是以上几个个症状却一直存在，可以肯定电脑里还有相当多的毒．我觉的症状和AV终结者挺象，但是其专杀工具杀不出来毒．．．很多工具也打开不了．现在我正在用一个傻办法，用局域网连了两台电脑，用好的这台的瑞星通过网上邻居杀坏的那台的毒，可是速度却出奇的慢，要几百小时．以上就是全部情况了，谢谢耐心阅读～
饿．．．实在不想重做系统，发誓和这病毒干上了，但我才疏学浅，只会基本的一些东西，所以过来请大家帮帮忙好吗？谢谢大家，谢谢斑竹！
看了版规，特弄来了高手们索要的日志．．．我是横竖看不懂拉，有请达人帮我看看，指点一下．．．谢谢您了！
许愿　如果弄好了等免费结束就马上去买正版瑞星，398那种．．．

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

附件: SREngLOG.log

besihary - 2008-7-29 6:03:00

自己顶起
啊啊...我睡一觉就来
麻烦各位了~谢谢!

QQ凌帆 - 2008-7-29 7:57:00

请问楼主是否装有"迅游加速器"软件和"虚拟光驱"?
禁用和删除以下服务,然后删除对用文件
[3C97A / 3C97A][Stopped/Auto Start]
<C:\WINDOWS\system32\3C97A.exe><(File is missing)>
删除以下驱动,然后删除对用文件
[aog3mbdly / aog3mbdly][Stopped/Boot Start]
<\SystemRoot\system32\drivers\aog3mbdly.sys><N/A>
[apcdli / apcdli][Running/Auto Start]
<\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
请用冰刃工具(见附件)结束进程:RsHide
然后全盘杀毒:

QQ凌帆 - 2008-7-29 8:00:00

不好意思,附件传不上来,自己去下载吧http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

besihary - 2008-7-29 13:01:00

抱歉，还是不行啊．．．．．．．．没有什么进展，所有的症状还是存在．．．
我已经按您给的步骤一步步完成了
删服务和驱动没有什么问题．．．
用冰刃结束进程rshide的这步，用冰刃没有看到该进程．．．反倒是打开木马清道夫找到了数个叫Rshide的进程的，删之，可是也没什么进展，瑞星打开之后还是那个样子，把鼠标移动到＂全面杀毒＂按钮上马上报错．．．
我希望现在能恢复瑞星的使用．．．可以实现吗？又搞了份LOG见下．请大家再帮我看看，谢谢！！！！不胜感激！

附件: SREngLOGx.log

besihary - 2008-7-29 13:04:00

在线等
谢谢大家~

豪斯登堡新郎 - 2008-7-29 13:07:00

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\Rshide
c:\windows\system32\cxun6qse.dll
c:\windows\system32\syswindrv.dll
c:\windows\system32\drivers\ug7v.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys
c:\windows\system32\drivers\msiffei.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项删除：
[ug7 / ug7v]
[ntptdb / ntptdb]
[msiffei / msiffei]

做完下载以下软件清理一次并重新安装杀毒软件，更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

秦人J - 2008-7-29 13:19:00

建议你用window清理助手，杀毒软件修复，在安全模式全盘杀毒

大头23 - 2008-7-29 13:23:00

有一些破坏性的病毒，即使用杀毒软件和其他方法完全清除后，它对系统的破坏也是不可逆的。只能用覆盖损坏的系统文件，或者重做系统

小日来了 - 2008-7-29 13:28:00

按新郎版主说的操作后

修复瑞星，或者重新安装下瑞星杀软，看能否恢复

leobiao - 2008-7-29 15:50:00

期待结果!

besihary - 2008-7-29 16:41:00

大家好！感谢大家的关心哈！鞠躬～跪拜！
可是啊，又忙乎了半天，按照大家提供的方法大都试了一遍，电脑还是不争气啊！
现在情况没有显著改善，还是没有声音，不能上网，没有任务栏，好多安全软件不能正常使用．．．
windows清理助手啊，卡卡啊什么的都去下载过来扫过了，每个都很有效果能找到一大堆问题，只是点击修复后系统还是老样子（症状没有变化，可能是修复了一些看不到的东西吧）
瑞星的问题重点说下，我听了大家的意见把老的瑞星删掉了，重装后瑞星基本恢复了功能（开心啊！）可是拿最新升级版的瑞星进行全盘查杀，结果只发现一个文件有病毒（rootkit），清除后，第二次扫再也扫不到病毒了．当然，现在windows清理助手，卡卡等软件全盘扫描也扫不出东西了．．．可是电脑的情况照旧．．．没有声音，不能上网，没有任务栏，好多安全软件不能正常使用．．．恩，速度还很卡
以上就是最新情况．．．莫非我中的是新毒？！
饿．．马上把新的日志传上来．．．高手们请看日志～

besihary - 2008-7-29 16:59:00

久等．最新的日志在此～

附件: aaa.log

besihary - 2008-7-29 17:01:00

补充一点啊
我在重新安装瑞星的时候,在安装过程中安装到"瑞星通用库"提示不能安装,跳过了.这是不是有很大的问题?

julia_ding - 2008-7-29 17:11:00

参照这个帖子修复下瑞星：http://bbs.ikaka.com/showtopic-8405080.aspx 或者 http://bbs.ikaka.com/showtopic-8440721.aspx，如能修复，进入安全模式下，暂时关掉系统还原，查毒，清空临时文件

aaccbbdd - 2008-7-29 17:17:00

开始-运行
dllcache
找到Explorer和logonui.exe
Explorer.exe替换WINDOWS目录同名文件
logonui.exe替换system32的同名文件

删除服务
[mysql / mysql][Stopped/Auto Start]
<><(File is missing)>
[Symgame_WowSQL / Symgame_WowSQL][Stopped/Auto Start]
<><(File is missing)>
[WowSQL / WowSQL][Stopped/Auto Start]
<><(File is missing)>
[WowWeb / WowWeb][Stopped/Auto Start]
<"d:\wow\web\Apache2\bin\Apache.exe" -k runservice><(File is missing)>

删除浏览器加载项
[]
{06926B30-424E-4F1C-8EE3-543CD96573DC} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{0A155D3C-68E2-4215-A47A-E800A446447A} <, >

C:\windos\System32\Drivers\sptd.sys
自己测下

ahdgagagaga - 2008-7-29 17:36:00

如果病毒针对破坏瑞星等一些国内著名的杀软的话，你可以先装一个冷门的，最好是外国的，谁也没听说过的杀软杀一遍毒试试。

1/2理想 - 2008-7-29 23:30:00

建议使用XDelBox删除以下文件
C:\WINDOWS\system32\3C97A.exe
C:\WINDOWS\system32\drivers\aog3mbdly.sysC:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
C:\WINDOWS\System32\DRIVERS\ug7v.sys
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys
sreng->启动项目-》服务->win32服务，删除
[3C97A / 3C97A][Stopped/Auto Start]
<C:\WINDOWS\system32\3C97A.exe><(File is missing)>

sreng->启动项目-》服务->驱动程序，删除
[aog3mbdly / aog3mbdly][Stopped/Boot Start]
<\SystemRoot\system32\drivers\aog3mbdly.sys><N/A>
[apcdli / apcdli][Running/Auto Start]
<\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
[msiffei / msiffei][Stopped/Manual Start]
<System32\Drivers\msiffei.sys><N/A>
[ntptdb / ntptdb][Running/Auto Start]
<\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys><N/A>
[ug7 / ug7v][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ug7v.sys><>sreng-》系统修复-》浏览器加载项，删除
[]
{1B0E7716-898E-48cc-9690-4E338E8DE1D3} <, >
[]
{06926B30-424E-4F1C-8EE3-543CD96573DC} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{0A155D3C-68E2-4215-A47A-E800A446447A} <, >

瑞星卡卡安全论坛