瑞星卡卡安全论坛

ＩＥ被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时，要求重新登录!今天在安全模式下杀毒还有两个：ＲootKit.Win32.RESSDT.CS和ＡdWARA.win32.ZhongSOU.aj。日志附：

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG08.09.log

昨天有师傅教我：
删除文件
c:\windows\system32\config\msce001.exe（在安全模式下删除了）
C:\WINDOWS\system32\ea0da.exe（找不到）
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys（用ＷinＲAR删除）
C:\windows\system32\drivers\h9sd9y.sys（找不到）

C:\windows\system32\drivers\h9sd9y.sys
服务
[Merv / Merv][Running/Auto Start]
  <C:\WINDOWS\system32\ea0da.exe><Microsoft Corporation>
驱动
[apcdli / apcdli][Running/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRI[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>VERS\e39y.sys><>
[ylnh38qg / ylnh38qg9][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\ylnh38qg9.sys><>
其余的在ＳＲＥＮＧ中删除了！
还有在ＳＲＥＮＧ中的启动项目中的ＡppInit-DLLS中有数据（KMON.DLL)无法编辑为空，我只能描述到这个程度了，请帮忙了哦！谢谢！

删除文件
C:\WINDOWS\system32\W5nxtQ.dll
C:\windows\System32\DRIVERS\e39y.sys
C:\windows\System32\DRIVERS\e39y.sys
删除驱动
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\e39y.sys><>
[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>
自己测下文件
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
http://virusscan.jotti.org/

C:\WINDOWS\Player.exe



金山清理专家-安全百宝箱-系统修复工具
修复系统
并清理流氓软件
http://www.duba.net/qing/

师傅请教我一下在哪里删除删除文件
C:\WINDOWS\system32\W5nxtQ.dll
C:\windows\System32\DRIVERS\e39y.sys
C:\windows\System32\DRIVERS\e39y.sys　　我全找不到，我在ＷinＲAR找的．
删除驱动
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\e39y.sys><>
[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>
刚才我已经删了哦，说重启后删除的，但怎么还在？

用http://www.virscan.org/测了C:\WINDOWS\Player.exe
说有１７％的杀软，但我不知道怎么贴上来！:default8: 　　　　　C:\WINDOWS\system32\W5nxtQ.dll（找了还是找不到）
C:\windows\System32\DRIVERS\e39y.sys
C:\windows\System32\DRIVERS\e39y.sys　　（这两个找到了，但不能删，说在使用，但我没用呀）　　　　　　　　　　　　　　删除驱动
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\e39y.sys><>
[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>
重启后看已经没有了．
下了金山清理专家-安全百宝箱-系统修复工具
修复系统
并清理了流氓软件　，但上网那个网页有出来了！！！
http://www.duba.net/qing/

弄个新日志
昨天眼花了
没看全

好的，麻烦你了，我现在回去了，有时间帮我看一下哦！

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\wups2.dll
c:\windows\player.exe
c:\windows\system32\ea0da.exe
c:\windows\system32\drivers\rhkxm.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys
c:\windows\system32\drivers\e39y.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[N/A]    <C:\WINDOWS\Player.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Merv / Merv]    <C:\WINDOWS\system32\ea0da.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[rhkxm / rhkxm]    <\SystemRoot\system32\drivers\rhkxm.sys>
[ntptdb / ntptdb]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys>
[e39 / e39y]    <\SystemRoot\System32\DRIVERS\e39y.sys>

金山清理专家-安全百宝箱-系统修复工具修复系统
http://www.duba.net/qing/
清理助手清理系统
http://www.arswp.com/download.html

删：
c:\windows\system32\wups2.dll
c:\windows\player.exe
c:\windows\system32\ea0da.exe
c:\windows\system32\drivers\rhkxm.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys



  启动项目 －－ 注册表之如下项删除：
[N/A]    <C:\WINDOWS\Player.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Merv / Merv]    <C:\WINDOWS\system32\ea0da.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[rhkxm / rhkxm]    <\SystemRoot\system32\drivers\rhkxm.sys>
[ntptdb / ntptdb]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys>
[e39 / e39y]    <\SystemRoot\System32\DRIVERS\e39y.sys>

c:\windows\system32\drivers\e39y.sys