瑞星卡卡安全论坛

之前电脑中招,每次开机后就不停的读软驱,今天重装了系统,装好瑞星杀完一遍显示没有病毒
然后打开其他盘时,问题又出现了
先是防火墙自动关掉,然后软驱又在一直转,用卡卡助手杀,也显示没问题
然后又装了反间谍专家,杀了一些木马,但是依然不能解决问题
同时CHM格式的文件不能打开

高手帮我看看吧,怎么才能解决,实在不能把其他盘也格了,有不少重要的东西都没有备份呢

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; TencentTraveler 4.0)

附件: rslog.txt

楼主那个不会看呀:default2: ，麻烦你再扫一个sreng日志吧

先使用windows清理助手清理一下系统(未签名的那些不要选择删除)

使用SREng扫描日志，将日志作为附件上传上来

扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

1、下载后解压缩，运行SREngLDr.EXE；
2、如果无法打开尝试把SREngLDr.EXE改名为123.com，并复制到c:\windows目录下运行；
3、点击【智能扫描】-【扫描】 ，扫描结束后点击【保存报告】 ；
4、选择保存路径，文件名保持默认，直接点击 保存 ；
5、将保存的报告以附件形式上传

恩,多谢,我按照提供的方法操作了一遍
日志如下,麻烦了

附件: SREngLOG.log

中auto了~呵呵~显示隐藏文件然后提取下样本上报~

等瑞星入库就可以杀了~:default6:

楼主你中的病毒好像已经嵌入到系统文件当中了嵌入系统DLL文件中日志上没看出什么来，你可以这样你去修复安装一下瑞星防火墙，然后你去其他盘符里面找一下所有后缀名为EXE文件然后全部删除重新下载这种EXE文件都一般是软件安装文件删除没事，你如果感觉不行的话就重装系统吧但是要做上面删除文件步骤。

开始-运行-输入dllcache，在该文件中找到userinit.exe复制到C:\WINDOWS\system32下替换现有那个

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\qcobnap.sys

2.删除重启后使用SREng修复下面各项：

启动项目 －－ 服务－－ 驱动程序之如下项删除：

[qcobnap / qcobnap]    <\SystemRoot\\SystemRoot\System32\drivers\qcobnap.sys>

最后再用windows清理助手打扫一下

SREng在"启动项目->注册表" 删除下面项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<CnsM.dll><Rundll32.exe C:\PROGRA~1\3721\CnsM.dll,Rundll32>  [File is missing]

SREng-启动项目->服务－驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）(不能删除就禁用:启动类型改为disabled,点中修改启动类型，点设置):
删除驱动
c:windows\System32\drivers\qcobnap.sys


另外本人再补充个对付自动运行问题的方案
开始---输入 secpol.msc  进入本地安全配置--双击软件限制策略---在其他规则下，新建路径规则---配置如下




CHM打不开，可以在SRE 文件关联修复那选择修复，不过日志上看是正常的。



杀毒辅助工具下载及简要说明  http://bbs.ikaka.com/showtopic-8536393.aspx

多谢上面亲的热心解答
我先试试看各位的方法

日志中显示没有4楼和5楼说的自动运行的东西，先不要随便删

这个,不知道怎么回事
刚才在安全模式下没找到自动运行的那个文件
然后又回到正常模式下
似乎进行系统清理然后提取日志之后
又正常了,不过按照打算fillix亲说的方法再次运行SREng时,又被提示可能有病毒,汗我自己现在也搞不清楚了

于是又扫描了下,再传一次日志大家帮我看看吧
如果问题不是太大偶就先凑合着用,实在不行偶就再做次系统吧,汗
主要是希望能把其他盘里的这个病毒给解决就好了

附件: SREngLOG.log

这次userinit.exe那个正常了，把c:\windows\system32\drivers\qcobnap.sys按照6楼说的方法删除就可以了

“再次运行SREng时,又被提示可能有病毒”是说sreng弹出的提示吗

恩,是的,是sreng弹出的提示

<Userinit><C:\WINDOWS\system32\userinit.exe,>  [] 
这个文件的签名掉啦；自己测下
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
http://virusscan.jotti.org/

晕  第二个日志这个文件正常了

截图上来看看

是显示
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x00FA1FFD)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x00FA20E5)
这个吧，这是瑞星修改的，不用去管，我看你两次给修复了

图片如下,AUTO的问题似乎已经解决了,刚才又重新启动了下,软驱还是不行,看来还是要按6楼的方法先操作下

如果这个C :\windows\System32\drivers\qcobnap.sys 删除了 就差不多了，刚才在第二篇日志 也没发现有Autorun

原来还没删那:default3:
appinit那个是卡卡修改的，也是安全的不用改

恩,已经删除了,然后重启动后,软驱还是不停的工作,晕啊
看来我是不是应该把软驱给拆了,郁闷啊
同样双击其他盘时,防火墙会自动关,恩,我用的不是瑞星防火墙,是系统自带的那种
真是要疯了,只好再次上传日志,汗死

附件: SREngLOG.log

:default3: 这我不清楚了，等明天问问版主吧

想问下 你软驱是不是H盘？如果是的话 把这个H:\PCIDATA.sys 删了。
建议 把NERO 刻录软件 卸载掉试下（虽然没看出问题，排除下原因还是比较好）

这个软驱是A盘,汗
估计现在没多少电脑会装软驱了