安全软件被删除，请各路高手帮助 bbs.ikaka.com

古董鱼 - 2008-8-13 18:37:00

和许多人中毒情况一样，安全软件被删，点击各类安全相关文件即被删除，主页被篡改成假百度，安全论坛都进不去，转到了www.yahoo.com.cn假百度。各路高手相救，自己忙了以下午，根本搞不好。瑞星杀出6个毒，显然不可能删除干净！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

tzy241 - 2008-8-13 18:48:00

我也是同样状况，重装系统都不行，瑞星也不能升级了，到底是啥病毒木马？

aaccbbdd - 2008-8-13 18:51:00

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm 的工具19）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\loanoltrd.dll
D:\Program Files\QQ2007\svhuvs.dll
C:\WINDOWS\system32\dgsfgdljv.dll

C:\WINDOWS\system32\pserspxvh.dll
C:\WINDOWS\system32\Drivers\0022987c.sys
C:\ed5aed286f22d4c6.dat

SRENG-启动项目－－服务－－驱动程序之如下项禁用
[0022987c / 0022987c][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0022987c.sys><N/A>
[ed5aed286f22d4c6 / ed5aed286f22d4c6][Stopped/Manual Start]
<\??\C:\ed5aed286f22d4c6.dat><N/A>

天云一剑 - 2008-8-13 18:56:00

将下面这3个文件压缩为RAR，上传
c:\windows\system32\loanoltrd.dll
c:\windows\system32\drivers\0022987c.sys
c:\ed5aed286f22d4c6.dat
C:\WINDOWS\system32\dgsfgdljv.dll
c:\windows\system32\pserspxvh.dll
然后使用XDELBOX，复制上面几行
XD里右键-剪切板导入不检查路径
再右键，立刻重启删除

重启后使用SRENG

启动项目-服务-驱动，以下删除
[0022987c / 0022987c] <\??\C:\WINDOWS\system32\Drivers\0022987c.sys>
[ed5aed286f22d4c6 / ed5aed286f22d4c6] <\??\C:\ed5aed286f22d4c6.dat>

浏览器加载项，以下删除
[Zyzzyva] <>

使用WINDOWS清理助手清理一下系统
(点击下载)

古董鱼 - 2008-8-13 19:01:00

将下面这3个文件压缩为RAR，上传
c:\windows\system32\loanoltrd.dll
c:\windows\system32\drivers\0022987c.sys
c:\ed5aed286f22d4c6.dat
上传哪里？

aaccbbdd - 2008-8-13 19:04:00

就这里
可疑文件交流也来份吧

先手工杀毒吧，我的方案

古董鱼 - 2008-8-13 19:07:00

好，我先去手工杀毒试试看。稍后……

古董鱼 - 2008-8-13 19:46:00

按你们要求去做了，不行啊
问题依旧都没有得到解决。

aaccbbdd - 2008-8-13 19:53:00

1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm 的工具19）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\loanoltrd.dll
D:\Program Files\QQ2007\svhuvs.dll
C:\WINDOWS\system32\dgsfgdljv.dll
D:\Program Files\QQ2007\WSOCK32.DLL

C:\WINDOWS\system32\pserspxvh.dll
C:\WINDOWS\system32\Drivers\0022987c.sys
C:\WINDOWS\system32\HdtVideoPlugin.dll
C:\ed5aed286f22d4c6.dat

SRENG-启动项目－－服务－－驱动程序之如下项禁用
[0022987c / 0022987c][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\0022987c.sys><N/A>
[ed5aed286f22d4c6 / ed5aed286f22d4c6][Stopped/Manual Start]
<\??\C:\ed5aed286f22d4c6.dat><N/A>

刚刚修改了
再试试

试完，新日志看看

叶陵君 - 2008-8-13 19:54:00

你打开SRE工具--系统修复将 HOSTS 修复下，在winsock中将
RSVP UDP Service Provider
C:\Program Files\Sinfor\SSL\ClientComponent\ProxyIE.dll(, ProxyIE Module)
RSVP TCP Service Provider
C:\Program Files\Sinfor\SSL\ClientComponent\ProxyIE.dll(, ProxyIE Module)
这两项删除。
可以下载这个工具箱修复映像劫持。

附件: 雨林木风会员专用版工具.rar (2008-8-13 19:54:01, 71.98 K)
该附件被下载次数 187

古董鱼 - 2008-8-13 20:05:00

C:\WINDOWS\system32\Drivers\0022987c.sys
C:\ed5aed286f22d4c6.dat
这两个显示说明，文件不存在

aaccbbdd - 2008-8-13 20:09:00

看9楼
刚刚改了内容
方案完整了

在待删除文件列表里点击右键选择从剪贴板导入不检查路径
这句话当耳旁风了？

古董鱼 - 2008-8-13 20:23:00

又是不行……新扫描发上来，再帮忙看下吧

附件: 新SREngLOG.log

aaccbbdd - 2008-8-13 20:28:00

还是那几个刚刚列的DLL
XDElbox不能运行？没点抑制再生？

还删不了
参见
http://bbs.ikaka.com/showtopic-8502100.aspx

古董鱼 - 2008-8-13 20:42:00

是我不当心，现在好了……
在待删除文件列表里点击右键选择从剪贴板导入不检查路径
这句话当耳旁风了？
我是这步做错了，呵呵

但是百度页面依旧是假的那个

古董鱼 - 2008-8-13 20:46:00

SREng扫描有些启动项--注册表不明白，是不是病毒啊？

aaccbbdd - 2008-8-13 20:48:00

删除病毒启动项么:default5:

http://bbs.ikaka.com/showtopic-8535283.aspx
3楼试试

古董鱼 - 2008-8-13 21:49:00

病毒已经删除干净了，感谢
不过假百度页面还在，怎么办，无法完全删除掉啊:default9:

aaccbbdd - 2008-8-13 21:52:00

SRENG重置Hosts

http://www.skycn.com/soft/37174.html
金山清理专家-安全百宝箱-系统修复工具
修复

古董鱼 - 2008-8-13 21:56:00

哈哈，终于全部杀光了，最后我host重置就行了
感谢各位大侠们啊，辛苦了

天云一剑 - 2008-8-15 13:27:00

陵君,那俩是正常的

tianguojun - 2008-8-21 17:27:00

各位大哥,小弟语到的问题和他一样,可是我怎么也解决不了!

tianguojun - 2008-8-21 17:29:00

怎么才能解决这个问题啊/我进CS1.6 的时候老被踢出来,SXE也打开了,可一进就被弄出来,我好伤心!

瑞星卡卡安全论坛