!!!高手帮忙啊!!!自动删除杀毒软件啊!! bbs.ikaka.com

瑞星卡卡安全论坛

wuqi0 - 2008-8-5 16:57:00

!!!!!杀毒软件自动删了啊!!!!装也装不啦``!!!这怎么会事啊!!!高手帮忙啊@!!!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

wuqi0 - 2008-8-5 17:03:00

附上诊断啊！！高手进！！

附件: SYSLOG.TXT

天仁 - 2008-8-5 17:03:00

建议使用System Repair Engineer扫描日志作为附件上传，以便于解答～
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

如果无法运行sreng，请到http://bbs.ikaka.com/showtopic-8517758.aspx下载修改后的sreng工具
或者直接下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=412527

天云一剑 - 2008-8-5 17:04:00

下载一个SRENG工具(点击下载)
使用它扫描日志，将日志作为附件上传上来。
操作方法：
1、下载后解压缩保存到系统文件夹内；
2、把SREngLdr.exe改名为123.PIF运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】，存为TXT格式；
5、将保存的报告附件上传而不是粘贴到帖子

上面的运行不了请http://bbs.ikaka.com/attachment.aspx?attachmentid=412527
下载后，也改名运行

wuqi0 - 2008-8-5 17:07:00

!!!!我附上的不是你们说的吗？？？

wuqi0 - 2008-8-5 17:11:00

下载SRENG也被自动删了啊！！！

天月来了 - 2008-8-5 17:11:00

http://bbs.ikaka.com/attachment.aspx?attachmentid=412527

你还是下载它，扫描日志吧

你给的那日志也可以，就是看起来累人，不直观

没我那工具扫描的看起来舒服

1 下载的是压缩包，必须解压缩后再运行。

2 运行***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。

点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

必须开着QQ软件扫描，不需要登陆QQ，只要开启即可。

byxxdrls - 2008-8-5 17:14:00

这个就是新型AV终结者，一般的安全工具都会被删除的，包括sreng。请看此帖http://bbs.ikaka.com/showtopic-8517758.aspx

－－PS:清理助手的日志看起来吃力。

wuqi0 - 2008-8-5 17:16:00

!!!!我前面上传的就是你的这个诊断的啊！！！！

附件: SREngLOG.log

天月来了 - 2008-8-5 17:23:00

请楼主下载我提供的附件，解压后运行

选择“快速扫描”，当扫描到一个项目后，立即“停止扫描”，选择“执行清理”。

提示重启电脑时，立即重启，就可以了。等着自动清理吧。

附件内附操作说明图，可以参照操作。

（注意：其他求助者请不要随意下载使用，此附件只对楼主有用，其他人没什么用的）

重启清理完以后，去下载最新SRENG工具：http://www.kztechs.com/sreng/download.html

扫描个新的2.6版的SRENG日志来打扫残余。

附件: 123.rar

byxxdrls - 2008-8-5 17:24:00

你开始发的是windows清理助手的报告，和sreng2的有点像。

大家注意一点，系统重要服务被修改。不要轻易删除这个病毒文件。等JAVQHC清理完毕再用wndows清理助手处理。

aaccbbdd - 2008-8-5 17:27:00

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm）
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\zsqf.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\comuidsg.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\hkz.dll
c:\windows\system32\ipsydopv.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mstimewd.dll
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\hbkernel.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{00180018-0018-0018-0018-00180018BB15}] <C:\WINDOWS\System32\mstimewd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}] <C:\WINDOWS\System32\ipsydopv.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}] <C:\WINDOWS\System32\dispexcb.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}] <C:\WINDOWS\System32\bootvidgj.dll>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}] <C:\WINDOWS\System32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}] <C:\WINDOWS\System32\lweurqhx.dll>
[{00020002-0002-0002-0002-00020002BB15}] <C:\WINDOWS\System32\avicapwm.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}] <C:\WINDOWS\System32\cliconfgzx.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}] <C:\WINDOWS\System32\certmgrkd.dll>
[{898E02AB-9372-4a2c-9C4A-FFE1AF61097F}] <C:\WINDOWS\System32\comuidsg.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}] <C:\WINDOWS\System32\adsntzt.dll>

启动项目－－服务－－驱动程序之如下项禁用：
[msiffei / msiffei] <System32\Drivers\msiffei.sys>
[HBKernel Driver / HBKernel] <\SystemRoot\system32\DRIVERS\HBKernel.sys>

byxxdrls - 2008-8-5 17:28:00

1.建议使用瑞星粉碎机粉碎以下文件：
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\zsqf.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\comuidsg.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\hkz.dll
c:\windows\system32\ipsydopv.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mstimewd.dll
c:\windows\system32\hbmhly.exe
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\hbkernel.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{00180018-0018-0018-0018-00180018BB15}] <C:\WINDOWS\System32\mstimewd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}] <C:\WINDOWS\System32\ipsydopv.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}] <C:\WINDOWS\System32\dispexcb.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}] <C:\WINDOWS\System32\bootvidgj.dll>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}] <C:\WINDOWS\System32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}] <C:\WINDOWS\System32\lweurqhx.dll>
[{00020002-0002-0002-0002-00020002BB15}] <C:\WINDOWS\System32\avicapwm.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}] <C:\WINDOWS\System32\cliconfgzx.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}] <C:\WINDOWS\System32\certmgrkd.dll>
[{898E02AB-9372-4a2c-9C4A-FFE1AF61097F}] <C:\WINDOWS\System32\comuidsg.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}] <C:\WINDOWS\System32\adsntzt.dll>
[HBmhly] <"C:\WINDOWS\System32\HBmhly.exe" -r>

启动项目－－服务－－驱动程序之如下项禁用：
[msiffei / msiffei] <System32\Drivers\msiffei.sys>
[HBKernel Driver / HBKernel] <\SystemRoot\system32\DRIVERS\HBKernel.sys>

系统修复－－ HOSTS文件－－重置

**************以上分析报告由SREngLog分析助手提供******************
分析：byxxdrls
时间：2008-8-5
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

byxxdrls - 2008-8-5 17:29:00

12楼的请注意：
c:\windows\system32\srpcss.dll
这个文件现在不能处理！:default11: :default11: :default11:

byxxdrls - 2008-8-5 17:31:00

重启后下载windows清理助手修复此项被病毒修改的服务[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
<C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\System32\srpcss.dll><N/A>

下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp2.rar

byxxdrls - 2008-8-5 17:39:00

楼主的这个报告我在虚拟机上运行后扫描的报告是何等的相似。:default6:
http://bbs.360safe.com/viewthread.php?tid=543493&extra=page%3D2
只是当时没开QQ，不然也会发现QQ目录中没病毒文件！

天云一剑 - 2008-8-5 17:43:00

首先，我的电脑右键属性，关闭系统还原

WINDOWS清理助手-

系统诊断，勾选专家模式

下面的都要右键添加到我的对象（注意，右键添加时，文件和注册表都要添加）

========================================

注册项

<HBmhly><"C:\WINDOWS\System32\HBmhly.exe" -r> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><zsqf.dll,ytfa.dll,ytfb.dll,ytfc.dll> [N/A, C:2008-08-05 12:21 M:2008-08-05 12:21]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\System32\adsntzt.dll> [N/A, C:2008-08-05 12:18 M:2008-08-05 12:18]
<{898E02AB-9372-4a2c-9C4A-FFE1AF61097F}><C:\WINDOWS\System32\comuidsg.dll> [N/A, C:2008-08-05 12:19 M:2008-08-05 12:19]
<{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}><C:\WINDOWS\System32\certmgrkd.dll> [N/A, C:2008-08-05 12:20 M:2008-08-05 12:20]
<{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\System32\cliconfgzx.dll> [N/A, C:2008-08-05 12:19 M:2008-08-05 12:20]
<{00020002-0002-0002-0002-00020002BB15}><C:\WINDOWS\System32\avicapwm.dll> [N/A, C:2001-08-05 12:22 M:2001-08-05 12:22]
<{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\System32\lweurqhx.dll> [N/A, C:2008-08-05 12:18 M:2008-08-05 12:18]
<{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\System32\dpvvoxmh.dll> [N/A, C:2008-08-05 12:01 M:2008-08-05 12:02]
<{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\System32\bootvidgj.dll> [N/A, C:2008-08-05 12:20 M:2008-08-05 12:20]
<{00180018-0018-0018-0018-00180018BB15}><C:\WINDOWS\System32\mstimewd.dll> [N/A, C:2001-08-05 12:17 M:2001-08-05 12:17]
<{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\System32\dispexcb.dll> [N/A, C:2008-08-05 12:20 M:2008-08-05 12:20]
<{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\System32\ipsydopv.dll> [N/A, C:2008-08-05 12:38 M:2008-08-05 12:38]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]
<相关站点><%SystemRoot%\web\related.htm> [N/A, C:2003-03-26 20:00 M:2003-03-26 20:00]

========================================
组件
ShellExecuteHook
[URL 执行挂钩]

{E0F3526A-4165-4589-80CD-50B6FBAC3BDA} <C:\WINDOWS\System32\adsntzt.dll> [N/A, C:2008-08-05 12:18 M:2008-08-05 12:18]
[]
{898E02AB-9372-4a2c-9C4A-FFE1AF61097F} <C:\WINDOWS\System32\comuidsg.dll> [N/A, C:2008-08-05 12:19 M:2008-08-05 12:19]
[]
{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5} <C:\WINDOWS\System32\certmgrkd.dll> [N/A, C:2008-08-05 12:20 M:2008-08-05 12:20]
[]
{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07} <C:\WINDOWS\System32\cliconfgzx.dll> [N/A, C:2008-08-05 12:19 M:2008-08-05 12:20]
[]
{00020002-0002-0002-0002-00020002BB15} <C:\WINDOWS\System32\avicapwm.dll> [N/A, C:2001-08-05 12:22 M:2001-08-05 12:22]
[]
{71A78CD4-E470-4a18-8457-E0E0283DD507} <C:\WINDOWS\System32\lweurqhx.dll> [N/A, C:2008-08-05 12:18 M:2008-08-05 12:18]
[]
{2876D76C-CAAA-4313-AF97-8D1D9A2A1087} <C:\WINDOWS\System32\dpvvoxmh.dll> [N/A, C:2008-08-05 12:01 M:2008-08-05 12:02]
[]
{D3112B69-A745-4805-874E-ABD480EA1299} <C:\WINDOWS\System32\bootvidgj.dll> [N/A, C:2008-08-05 12:20 M:2008-08-05 12:20]
[]
{00180018-0018-0018-0018-00180018BB15} <C:\WINDOWS\System32\mstimewd.dll> [N/A, C:2001-08-05 12:17 M:2001-08-05 12:17]
[]
{76D44356-B494-443a-BEDC-AA68DE4255E6} <C:\WINDOWS\System32\dispexcb.dll> [N/A, C:2008-08-05 12:20 M:2008-08-05 12:20]
[]
{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} <C:\WINDOWS\System32\ipsydopv.dll> [N/A, C:2008-08-05 12:38 M:2008-08-05 12:38]

========================================
驱动

[msiffei / msiffei][Stopped/Manual Start]
<System32\Drivers\msiffei.sys> []

添加完毕后

定制扫描，完整扫描，所有威胁类型，清理

wuqi0 - 2008-8-5 17:44:00

天月来了 你的那个杀不了啊```重起后提示无法删除！！是否手动删除再扫一遍后还是无法删除```

wuqi0 - 2008-8-5 17:48:00

根本安装不了杀毒软件

天月来了 - 2008-8-5 17:50:00

你再重新下载试试

我更新了

清理完以后，一定要尝试我签名处的2.6版SRENG工具扫描新日志来打扫残余

wuqi0 - 2008-8-5 17:54:00

我试了很多次了```都是同样的！！！

天云一剑 - 2008-8-5 17:55:00

楼主，你清理助手能用不啊。。。为啥不看呢

aaccbbdd - 2008-8-5 17:55:00

方案不是给了？先试试看
或先试试附件

附件: jav专杀.zip

wuqi0 - 2008-8-5 17:56:00

用了啊

天月来了 - 2008-8-5 18:01:00

引用:

原帖由 wuqi0 于 2008-8-5 17:54:00 发表
我试了很多次了```都是同样的！！！

你到底有没再去重新下载

重新下载附件

不是要你重新清理

我更新了附件

原来的那个少加个文件。。

唉....................

论坛显示，我在10楼提供的附件下载次数为零

唉................

无奈，直接给你提供下载地址吧：
http://bbs.ikaka.com/attachment.aspx?attachmentid=420904

byxxdrls - 2008-8-5 18:03:00

引用:

原帖由 天云一剑 于 2008-8-5 17:55:00 发表
楼主，你清理助手能用不啊。。。为啥不看呢

我来回答你，应该是不能用。

天月来了 - 2008-8-5 18:11:00

引用:

原帖由 byxxdrls 于 2008-8-5 18:03:00 发表

引用:

原帖由 天云一剑 于 2008-8-5 17:55:00 发表
楼主，你清理助手能用不啊。。。为啥不看呢

我来回答你，应该是不能用。

他们可能好奇我为什么传的附件是Windows清理助手呢:default3:

byxxdrls - 2008-8-5 18:24:00

他们不知道你侵犯了windows清理助手的版权了:default6:

fairsentence - 2008-8-5 18:27:00

中了这个病毒xdelbox也不能用了？按方案把那些删了吗？

天月来了 - 2008-8-5 18:35:00

那你就弄清理流程给楼主嘛

详细点么。

查看完整版本: !!!高手帮忙啊!!!自动删除杀毒软件啊!!