瑞星卡卡安全论坛

原来装的是瑞星 中毒后不能启动了
机器症状1：浏览一切安全方面的网站，包括瑞星 360网站都会跳到百度页面，标题栏显示的是雅虎中国

症状2：瑞星 金山 360安全卫士清理助手，下载了很多专杀软件，杀毒软件都无法打开，双击会被删除。 不论是改名，比如改成a.exe，还是改后缀名，比如a.com，9.scr都不能启动。直接就被删除了。比如360safe文件夹里面的360safe。exe 不论改名还是改后缀，双击直接被删除。

但是冰刃可以启动。监视进程结束发现是explorer.exe。 从健康机器上拷贝一个过去覆盖还是没有用。

症状3：无法进入安全模式，一进就蓝屏。 可以打开任务管理器 看了一下进程是比较干净

症状4：进pe系统查毒可以打开360和各种专杀，但是查不出毒来。 是不是专杀工具的病毒库不够新？pe下用360老版本的av终结者检测说安全模式被破坏，恢复了仍然不能进入安全模式。

启动项完全清除干净了，没有用。进pe后 手动进入各级磁盘，把windows和system32，尤其是有些文件下面带有kill360，kill瑞星的干扰文件夹都删了，各个temp下面奇怪的文件都清空删除了，还是无用。

进注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下面很干净，没什么东西。

请高手指教。多谢


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler ; InfoPath.1)

补充一点 想把东西拷出来重装系统 但是复制和粘帖完全失效 快捷键和按钮都不能用

看俺签名

整个SRENG日志来

用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载地址：http://kztechs.com/sreng/download.html

操作方法：
1、下载后解压缩sreng2.zip；
2、运行SREngPS.EXE；
（如果无法打开尝试把SREngLdr.exe改名为123.com运行；）
3、依次点击【智能扫描】-【扫描】；
4、耐心等待，扫描结束后点击【保存报告】；
5、选择保存路径，文件名保持默认，直接点击【保存】，存为TXT格式；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

安全软件双击直接被删除。

你俩能不能认真点。

我签名处看过又忘记了？？

感谢各位的指导
但是SRENG也打不开 双击直接被删除 改名允许 改后缀名运行都打不开 从360和金山毒霸这里下载的任何杀软到了这机器上双击就会直接被删除

因为是28日中的毒 我用其他机器从瑞星首页进专杀下载 下载了新的几个专杀 全部是双击被病毒直接搞定了

谢谢版主的回复 我明天再试试吧 我同事已经先下班了  多谢

俺的签名里看呀

关于安全软件和SRENG运行被删除的呀

你看了，还不会吗？

感谢版主的回复  日志来了 谢谢

附件: SREngLOG.txt

干掉安全软件的，就是它了：C:\WINDOWS\system32\slcvcypst.dll

建议还是我那签名处，设法干掉下面文件：

C:\WINDOWS\system32\zsqf.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\mstimewd.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\slcvcypst.dll

然后升级Windows清理助手清理系统，清理完，再扫个我签名处的2.6版的SRENG日志来打扫残余。

操作方法见我签名，先删除病毒文件并抑制再生（不抑制再生则无效）
删除启动项及对应文件
kvonreboot><C:\WINDOWS\system32\360Kill.bat>  [N/A]

<{004E654C-E519-4187-ADF4-B4E313A99947}><>  [N/A]
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [N/A]
    <{00180018-0018-0018-0018-00180018BB15}><C:\WINDOWS\system32\mstimewd.dll>  []
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  [N/A]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\adsntzt.dll>  []
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  [N/A]
    <{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll>  [N/A]
    <{00060006-0006-0006-0006-00060006BB15}><C:\WINDOWS\system32\dispexcb.dll>  []
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll>  []
    <{00020002-0002-0002-0002-00020002BB15}><C:\WINDOWS\system32\avicapwm.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  [N/A]
    <{D47A61B8-0EAB-417F-8DF4-5C949982A2AF}><C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys>  [N/A]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  [N/A]
<wsctf.exe><; wsctf.exe>  [N/A]

改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,lbf18.exe,,rt17.exe,wnj17.exe,guwf17.exe,kdqn17.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><userinit.exe,EXPLORER.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><zsqf.dll,ytfa.dll,ytfb.dll,ytfc.dll>  []
并删除文件
C:\windos\system32\zsqf.dll
C:\windos\system32\ytfa.dll
C:\windos\system32\ytfb.dll
C:\windos\system32\ytfc.dll

为[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
删除服务及对应文件
[servplay / cname][Stopped/Auto Start]
  <><N/A>

[Network Remote Assistant / netra][Stopped/Auto Start]
  <C:\WINDOWS\system32\drivers\svchost.exe><N/A>
删除驱动及对应文件
2ygdgm / 2ygdgm][Stopped/Boot Start]
  <C:\windos\system32\drivers\2ygdgm.sys><N/A>
[6ljjin3e / 6ljjin3e][Stopped/Boot Start]
  <C:\windos\system32\drivers\6ljjin3e.sys><N/A>
[ehefcdcc / ehefcdcc][Stopped/Boot Start]
  <C:\windos\system32\drivers\ehefcdcc.sys><N/A>
[f2gb2be / f2gb2be][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\f2gb2be.sys><N/A>
[HBKernel Driver / HBKernel][Running/Boot Start]
  <C:\windos\system32\DRIVERS\HBKernel.sys><N/A>
[HiddFldy / HiddFldy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\d32dx9.sys><N/A>
[hkzsleivm / hkzsleivm][Stopped/Boot Start]
  <C:\windos\system32\drivers\hkzsleivm.sys><N/A>
[hxun / hxun][Stopped/Boot Start]
  <C:\windos\system32\drivers\hxun.sys><N/A>
[ialm / ialm][Running/Manual Start]
  <C:\windos\DRIVERS\ialmnt5.sys><Intel Corporation>
[imz4y / imz4yd][Stopped/Boot Start]
  <C:\windos\System32\DRIVERS\imz4yd.sys><N/A>
[n3f89ox2nd / n3f89ox2nd][Stopped/Boot Start]
  <C:\windos\system32\drivers\n3f89ox2nd.sys><N/A>
[PnpWmkDrv / PnpWmkDrv][Stopped/System Start]
  <\??\C:\WINDOWS\system32\drivers\PnpWmkDrv.sys><N/A>

[TL / TL][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1CF.tmp><N/A>

小狮子呀！！！你还是懒死了呀，整理出病毒文件呀，求助的不知道哪些文件呀，更不知道怎么操作呀，因为安全工具都会被病毒删除不能运行，你.............
唉............

或者手工试试：

Xdelbox工具 下载：http://www.dodudou.com/down/ 一定要下载那个最下面的1.7支持奥运版本的，没这个就下载1.6版的，随便下，能运行工作就行。

然后，一定要断网处理，不然可能不能成功：

你只有用Xdelbox这个工具去删除这些文件：

将你下载的Xdelbox工具的压缩包一定要解压出来运行，不要懒。
运行xdelbox前请拔掉插在电脑上的所有移动硬盘、U盘、MP3等。
运行xdelbox前可能还需要关闭一些杀毒软件的主动防御部分，因为一些安全软件可能会阻止xdelbox释放文件。
将下面的文件信息全部复制，然后打开Xdelbox,（打开后，不要好奇点这Xdelbox玩）直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并选择右键菜单的“立刻重启删除”

C:\WINDOWS\system32\zsqf.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\mstimewd.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\slcvcypst.dll
C:\WINDOWS\lbf18.exe
C:\WINDOWS\rt17.exe
C:\WINDOWS\wnj17.exe
C:\WINDOWS\guwf17.exe
C:\WINDOWS\kdqn17.exe
C:\WINDOWS\wsctf.exe
C:\WINDOWS\zsqf.dll
C:\WINDOWS\ytfa.dll
C:\WINDOWS\ytfb.dll
C:\WINDOWS\ytfc.dll
C:\WINDOWS\system32\lbf18.exe
C:\WINDOWS\system32\rt17.exe
C:\WINDOWS\system32\wnj17.exe
C:\WINDOWS\system32\guwf17.exe
C:\WINDOWS\system32\kdqn17.exe
C:\WINDOWS\system32\wsctf.exe
C:\WINDOWS\system32\zsqf.dll
C:\WINDOWS\system32\ytfa.dll
C:\WINDOWS\system32\ytfb.dll
C:\WINDOWS\system32\ytfc.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\mstimewd.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\sgdewg.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\kgfghd.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\zycdex.dll
C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\HBmhly.exe
C:\WINDOWS\system32\mszstb.dll
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\drivers\2ygdgm.sys
C:\WINDOWS\system32\drivers\6ljjin3e.sys
C:\WINDOWS\system32\drivers\bfebaije.sys
C:\WINDOWS\system32\drivers\ehefcdcc.sys
C:\WINDOWS\system32\drivers\f2gb2be.sys
C:\WINDOWS\system32\DRIVERS\HBKernel.sys
C:\WINDOWS\system32\d32dx9.sys
C:\WINDOWS\system32\drivers\hkzsleivm.sys
C:\WINDOWS\system32\drivers\htmoagfs.sys
C:\WINDOWS\system32\drivers\hxun.sys
C:\WINDOWS\System32\DRIVERS\imz4yd.sys
C:\WINDOWS\system32\drivers\n3f89ox2nd.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1CF.tmp

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式（如果不自动重启进系统，请手工重启选择进正常系统）
————————————————————————————————————————————————————
下面的两项看不懂，你自己设置的？？
启动项目
注册表
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <EXPLORER.EXE><; EXPLORER.EXE>  [(Verified)Microsoft Windows Publisher]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><userinit.exe,EXPLORER.EXE>  [(Verified)Microsoft Windows Publisher]

建议设置系统显示隐藏文件、系统文件，然后全机搜索EXPLORER.EXE文件，看看到底有多少EXPLORER.EXE文件。搜索时注意选择搜索隐藏文件夹和系统文件夹。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<shell>项目选择“编辑”，这必须关闭杀毒软件的监控，否则编辑不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,lbf18.exe,,rt17.exe,wnj17.exe,guwf17.exe,kdqn17.exe>  [(Verified)Microsoft Windows Publisher]

就是将 <shell> 的“值”项编辑为：

    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><zsqf.dll,ytfa.dll,ytfb.dll,ytfc.dll>  []

就是将 <AppInit_DLLs> 的“值”项编辑置空为：

    <AppInit_DLLs><>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{004E654C-E519-4187-ADF4-B4E313A99947}><>  [N/A]
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [N/A]
    <{00180018-0018-0018-0018-00180018BB15}><C:\WINDOWS\system32\mstimewd.dll>  []
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  [N/A]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\adsntzt.dll>  []
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  [N/A]
    <{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll>  [N/A]
    <{00060006-0006-0006-0006-00060006BB15}><C:\WINDOWS\system32\dispexcb.dll>  []
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll>  []
    <{00020002-0002-0002-0002-00020002BB15}><C:\WINDOWS\system32\avicapwm.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  [N/A]
    <{D47A61B8-0EAB-417F-8DF4-5C949982A2AF}><C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys>  [N/A]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  [N/A]
    <HBmhly><; "C:\WINDOWS\system32\HBmhly.exe" -r>  [N/A]
    <wsctf.exe><; wsctf.exe>  [N/A]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，
==================================
服务
[Internet Statistics / Internet Statistics][Stopped/Auto Start]
  <"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\mszstb.dll", Run><Microsoft Corporation>

[Network Remote Assistant / netra][Stopped/Auto Start]
  <C:\WINDOWS\system32\drivers\svchost.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[2ygdgm / 2ygdgm][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\2ygdgm.sys><N/A>

[6ljjin3e / 6ljjin3e][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\6ljjin3e.sys><N/A>

[bfebaije / bfebaije][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\bfebaije.sys><N/A>

[ehefcdcc / ehefcdcc][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\ehefcdcc.sys><N/A>

[f2gb2be / f2gb2be][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\f2gb2be.sys><N/A>

[HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>

[HiddFldy / HiddFldy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\d32dx9.sys><N/A>

[hkzsleivm / hkzsleivm][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\hkzsleivm.sys><N/A>

[htmoagfs / htmoagfs][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\htmoagfs.sys><N/A>

[hxun / hxun][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\hxun.sys><N/A>

[imz4y / imz4yd][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\imz4yd.sys><N/A>

[n3f89ox2nd / n3f89ox2nd][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\n3f89ox2nd.sys><N/A>

[TL / TL][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1CF.tmp><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} <C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys, N/A>
[]
  {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} <C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

我把360的东西全卸载了，然后重装一下瑞星，装完后有小黄伞，偟然后再修复一下，就好了。没问题！！:default9:


（不会吧？？你这样能解决这位求助的问题？）

我先隐藏了。。。省的大家又看重复的。。。

附件: 2.JPG

附件: 4.JPG

附件: 6.JPG

:default9:

感谢一下啊
现在很奇怪的问题是msn 装了点启动没有用 outlook express 6.0 点快捷方式没有用 打开我的电脑的地址栏是空白
用360扫了还是毒一堆 正在清理中

MSN啊，重新下载安装文件
OUTLOOK就不要用了。。。用个别的客户端~

还有一堆毒？
都删了么？
可以再扫个报告来