瑞星卡卡安全论坛

刚才上了一个垃圾网站，中毒了，在每个盘符下多了autorun安装信息文件、MSDD.EXE文件，双击瑞星不能打开，出现下面的提示，有一个USBKiller也不能运行了。附件有SREngLOG，请高人帮我啊。谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

附件: SREngLOG.log

用附件去映像劫持
C:\WINDOWS\system32\dllcache\wuauclt.exe用WinRAR打包上传到这里

.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm）
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\auther.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~46.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp3.tmp
C:\windos\system32\drivers\i91vpk.sys
C:\windos\System32\DRIVERS\hclt.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~62.tmp
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\autorun.inf
C:\msdd.exe
d:\autorun.inf
d:\msdd.exe
e:\autorun.inf
e:\msdd.exe
删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：


  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif -->  [File is missing]><N>
启动项目 －－ 服务－－ 驱动程序之如下项禁用
[sys_flt / sys_flt][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~46.tmp><N/A>

[WD / WD][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp3.tmp><N/A>
[i91vpk / i91vpk][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\i91vpk.sys><N/A>
[hclt / hclt][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\hclt.sys><>
[sys_hkr / sys_hkr][Others/Disabled]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~62.tmp><N/A>

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

附件: 机器狗&映像劫持修复工具.rar

多谢楼上的朋友，上午我的机子中毒加重，上瑞星论坛的时候打开网页不到几秒钟就自己关闭了，但是打开普通的网页却没有事。在C、D、E盘下都发现了autorun和MSDD文件，删了还有。
晚上我用XDelBox把autorun和MSDD都免疫了，现在终于可以上瑞星论坛了，可瑞星还是打不开，还有上面图示的提示。我估计肯定还有病毒，如果重启可能就发作了，所以我现在只能在线求助了，帮帮忙啊。
扫描日志如下

附件: SREngLOG.log

修复映像劫持

用2楼的附件

把XDelBox目录文件夹内的backups文件夹打包发送“可疑文件交流”版

用附件清除映像劫持！！

汗

2楼第一句就被藐视了

谢谢大侠，上午我下载后用了，但是检查不到东西。刚才又试了下，查出39项，全部清除掉了，谢谢您。可是我在压缩wuauclt.exe文件的时候提示不能压缩，不知怎么回事啊。而且在这个文件的左边还有一个名字为wuauclt1.exe的文件，见下面图。
我上午用了系统恢复，把系统重新安装了，所以日志可能不一样了，所以刚才我重新上传了。

下面是文件夹里面的截图

这是最新的扫描日志，请大侠帮忙啊

附件: SREngLOG.log

用WINRAR查看各个根目录的
Autorun.inf
和msdd.exe删除

PS：杀毒前不要双击
进入磁盘

谢谢回复。我用winrar软件查了，都有autorun，有的有MSDD，我把autorun和MSDD都删了，可是过几秒钟的时间autorun就又出来了，非常顽固啊。

。。。
这么顽固？
用2楼的东东删除并抑制再生吧


下载Dr.Web CureIt 到桌面,免安装的，更新后直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe


PS：病毒没运行吧:default10:
貌似是没运行

Autorun病毒防御者 2.32.160┊可查杀和防御Autorun 病毒┊简体中文绿色免费版
http://www.greendown.cn/soft/6388.html

现在，瑞星正在查杀，看情况估计机子没什么问题了，十分感谢aaccbbdd和天仁朋友。
昨天上午不小心上了个垃圾网站，然后虽然能上网，但发现机子不太对劲，想打开瑞星杀毒，可是瑞星打不开了，USBKiller也自动关闭了，每个盘下面多了autorun.inf和MSDD.EXE文件，杀完后马上就自动出现，开始还能上瑞星卡卡安全论坛，就发贴求助，等待应助的时候就自己找一些机子上的杀毒软件试试，最后实在不行就准备重启进入安全模式再用瑞星，可是重启后却进不了安全模式，等再次正常进入后，但是关于杀毒、瑞星等的网页一打开，整个浏览器马上关闭，系统时间被改成2004年，所以原来求助的帖子也看不了，最后实在没有办法，干脆恢复系统吧。用机子的一键恢复很快就恢复了，然后用资源浏览器找到瑞星，安装，仍然能正常上网，升级到最新版后杀毒，其间用浏览了一些文件夹（没有双击盘符），然后瑞星突然自己关闭，再打开就不行了，机子再次陷入中毒状态，于是打开论坛的求助帖子，在关闭前的几秒钟把aaccbbdd朋友的回复看了下，下载了Xdelbox，开始检查劫持但是没有（可能是我操作有误），后来用AV终结者杀了下，有两个病毒成功杀除，然后用冰刃把一些进程关掉，这样上网浏览瑞星论坛就不再关闭了，但是瑞星仍然打不开，就用SREng扫描了日志再次求助，后来按照aaccbbdd朋友的指点下，用Xdelbox再次检查，发现了39项被劫持项目，赶紧清除，但是用USBKiller检查，每过几秒钟autorun文件就会出现，怎么也清除不掉，病毒很顽固，晚上11点多，aaccbbdd朋友在10楼给了个软件DrWEB，11楼天仁朋友给了个Autorun病毒防御者，于是都下载了同时查杀，Autorun病毒防御者能查出很多，但是杀不掉，提示上报，DrWEB提示了几个病毒后删除，可能是同时运行两个软件的原因，机子突然蓝屏，然后自动重启，进入系统后我就只打开DrWEB进行全面查杀，发现了好多病毒，1点40的时候发现50个病毒，有的直接删除了，有的提示不能建立文件夹，我就用WINRAR按照文件路径找到不能建立文件夹的被感染文件，全部手动删除，时间太晚了，关机睡觉。
今天早上起来赶紧打开机子，感觉机子运行基本正常了，继续用DrWEB查杀，又在D、E盘发现了被感染文件，有的自动删除，有的手动删除，这次终于好了。
现在打开瑞星，全面查杀ing
经验教训：不上垃圾网站，养成好的习惯，多向高手咨询，常来论坛转转，相信瑞星杀软，确保机器平安。