瑞星卡卡安全论坛

10分钟前。。我杀毒软件的监控突然变成红伞了。。。。。。任务管理器也打不开了。。啊。。怎么回事呀！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

附件: SREngLOG.log

楼主可参考 万事达版主的帖 黄伞、红伞（监控关闭）的解决方法 http://bbs.ikaka.com/showtopic-8432668.aspx
先试一试， 日志正在分析。。。

不行呀。。。更本都升不了 级，还有就时 今天早上我才杀了毒的。。。

第一次独立帮求助者分析日志，请参考下吧
请断网操作
1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\wklsdd.dll
c:\windows\fonts\ietzepaq.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\fsrgeb.dll
c:\windows\fonts\aekdaolf.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\arjrller.dll
c:\windows\fonts\ptjhfhlp.dll
c:\windows\system32\nhmxfjkl.dll
c:\windows\fonts\zycbeime.dll
c:\windows\fonts\ypdjibmp.dll
c:\windows\fonts\zywmjime.dll
c:\windows\fonts\zywleime.dll
c:\windows\fonts\zyzxjime.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\zsdgff.dll
c:\windows\fonts\mndsjsrv.dll
c:\windows\fonts\mndhhdwd.dll
c:\windows\fonts\ypcqihlp.dll
c:\windows\system32\jlgejgei32fg.dll
c:\windows\fonts\apsghjba.dll
c:\windows\fonts\zptlesys.dll
c:\windows\system32\zxmshwin.dll
c:\windows\fonts\lopdfeab.dll
c:\windows\fonts\ijdycpaw.dll
c:\windows\system32\mttwfh.dll
nicozftp01.dll,zxmshwin.dll wdhotem.dll,jlgejgei32fg.dll candayl.dll cxhole.dll dearnts.dll,nhmxfjkl.dll,arjrller.dll
ntsd -d
c:\windows\temp\~wxp2ins.468.tmp
c:\windows\system32\cafesvr
c:\windows\system32\zzxurs
c:\docume~1\admini~1\locals~1\temp\tmp9.tmp
c:\docume~1\admini~1\locals~1\temp\rar$ex00.563\qq三国宝宝外挂\hknms.sys
c:\docume~1\admini~1\locals~1\temp\tmp17.tmp
c:\windows\system32\pmkkge
c:\docume~1\admini~1\locals~1\temp\tmp19.tmp
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\msosmsp2p32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\admini~1\locals~1\temp\tmp13.tmp
c:\windows\system32\drivers\k9xv.sys
c:\docume~1\admini~1\locals~1\temp\tmp15.tmp
c:\windows\system32\drivers\ilgta9.sys
c:\windows\system32\drivers\hostnt.sys
c:\docume~1\admini~1\locals~1\temp\tmpd.tmp
c:\docume~1\admini~1\locals~1\temp\tmpf.tmp
c:\docume~1\admini~1\locals~1\temp\rar$ex01.532\bsup\bitspirit\bsurl.htm
c:\program files\google\googletoolbar1.dll
c:\program files\yayad\adcore.dll
c:\progra~1\chinanet\vnettr~1.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{59109876-7619-9101-7012-901938475195}]    <C:\WINDOWS\Fonts\ietzepaq.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{10658451-2036-6541-2068-698745214601}]    <C:\WINDOWS\Fonts\aekdaolf.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{EC69134A-F15F-D14D-A31A-C31C4D124FCE}]    <C:\WINDOWS\system32\arjrller.dll>
[{628DF602-9541-A985-210A-984A698C6F26}]    <C:\WINDOWS\Fonts\ptjhfhlp.dll>
[{67AC9076-C898-B098-D098-A18319080976}]    <C:\WINDOWS\system32\nhmxfjkl.dll>
[{5A698102-5904-AFD0-20DF-CD1A65829CA5}]    <C:\WINDOWS\Fonts\zycbeime.dll>
[{B1954FAC-1023-154F-895A-1458258AD81B}]    <C:\WINDOWS\Fonts\ypdjibmp.dll>
[{A319A1F1-9410-9654-3201-345FFA34913A}]    <C:\WINDOWS\Fonts\zywmjime.dll>
[{57A924AF-1A5F-CF21-AB1D-1D5CF82A8A75}]    <C:\WINDOWS\Fonts\zywleime.dll>
[{AA59145F-315D-BC23-AC1F-145DF81A34AA}]    <C:\WINDOWS\Fonts\zyzxjime.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]    <C:\WINDOWS\system32\zsdgff.dll>
[{A7FD640A-158F-48AC-FD14-1597F14A977A}]    <C:\WINDOWS\Fonts\mndsjsrv.dll>
[{8C648541-1025-9650-9057-6541258720C8}]    <C:\WINDOWS\Fonts\mndhhdwd.dll>
[{A0AF1289-F140-A140-D012-C1458759FC0A}]    <C:\WINDOWS\Fonts\ypcqihlp.dll>
[{F490415F-65F8-B5C5-D8BA-9405FB12054F}]    <C:\WINDOWS\system32\jlgejgei32fg.dll>
[{9FD45A54-9875-698F-E56E-65102358FDF9}]    <C:\WINDOWS\Fonts\apsghjba.dll>
[{70940F85-F015-14F1-A05F-F69858AC6D07}]    <C:\WINDOWS\Fonts\zptlesys.dll>
[{AA041F13-A111-12A3-B0CF-F99818AA68AA}]    <C:\WINDOWS\system32\zxmshwin.dll>
[{C629FF4F-ACDB-5C90-A098-FACB3456A26C}]    <C:\WINDOWS\Fonts\lopdfeab.dll>
[{3A698452-C5D8-C584-C256-C264C987C5A3}]    <C:\WINDOWS\Fonts\ijdycpaw.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改：把<nicozftp01.dll,zxmshwin.dll wdhotem.dll,jlgejgei32fg.dll candayl.dll cxhole.dll dearnts.dll,nhmxfjkl.dll,arjrller.dll>修改为<>即清空
[IFEO[360rpt.exe]]    <ntsd -d>
[IFEO[360SAFE.exe]]    <ntsd -d>
[IFEO[360safebox.exe]]    <ntsd -D>
[IFEO[360tray.exe]]    <ntsd -d>
[IFEO[adam.exe]]    <ntsd -d>
[IFEO[AgentSvr.exe]]    <ntsd -d>
[IFEO[AntiArp.exe]]    <ntsd -d>
[IFEO[AppSvc32.exe]]    <ntsd -d>
[IFEO[autoruns.exe]]    <ntsd -d>
[IFEO[avconsol.exe]]    <ntsd -d>
[IFEO[avgrssvc.exe]]    <ntsd -d>
[IFEO[AvMonitor.exe]]    <ntsd -d>
[IFEO[avp.com]]    <ntsd -d>
[IFEO[avp.exe]]    <ntsd -d>
[IFEO[CCenter.exe]]    <ntsd -d>
[IFEO[ccSvcHst.exe]]    <ntsd -d>
[IFEO[EGHOST.exe]]    <ntsd -d>
[IFEO[FileDsty.exe]]    <ntsd -d>
[IFEO[filemon.exe]]    <ntsd -d>
[IFEO[FTCleanerShell.exe]]    <ntsd -d>
[IFEO[FYFireWall.exe]]    <ntsd -d>
[IFEO[GFRing3.exe]]    <ntsd -d>
[IFEO[GFUpd.exe]]    <ntsd -d>
[IFEO[HijackThis.exe]]    <ntsd -d>
[IFEO[iparmo.exe]]    <ntsd -d>
[IFEO[Iparmor.exe]]    <ntsd -d>
[IFEO[isPwdSvc.exe]]    <ntsd -d>
[IFEO[kabaload.exe]]    <ntsd -d>
[IFEO[KaScrScn.SCR]]    <ntsd -d>
[IFEO[KASMain.exe]]    <ntsd -d>
[IFEO[KASTask.exe]]    <ntsd -d>
[IFEO[KAV32.exe]]    <ntsd -d>
[IFEO[KAVDX.exe]]    <ntsd -d>
[IFEO[KAVPF.exe]]    <ntsd -d>
[IFEO[KAVPFW.exe]]    <ntsd -d>
[IFEO[KAVSetup.exe]]    <ntsd -d>
[IFEO[KAVStart.exe]]    <ntsd -d>
[IFEO[KISLnchr.exe]]    <ntsd -d>
[IFEO[KMailMon.exe]]    <ntsd -d>
[IFEO[KMFilter.exe]]    <ntsd -d>
[IFEO[KPFW32.exe]]    <ntsd -d>
[IFEO[KPFW32X.exe]]    <ntsd -d>
[IFEO[KPfwSvc.exe]]    <ntsd -d>
[IFEO[KPPMain.exe]]    <ntsd -D>
[IFEO[KRegEx.exe]]    <ntsd -d>
[IFEO[KRepair.com]]    <ntsd -d>
[IFEO[KsLoader.exe]]    <ntsd -d>
[IFEO[KVCenter.kxp]]    <ntsd -d>
[IFEO[KvDetect.exe]]    <ntsd -d>
[IFEO[KvfwMcl.exe]]    <ntsd -d>
[IFEO[KVMonXP.kxp]]    <ntsd -d>
[IFEO[KVMonXP_1.kxp]]    <ntsd -d>
[IFEO[kvol.exe]]    <ntsd -d>
[IFEO[kvolself.exe]]    <ntsd -d>
[IFEO[KvReport.kxp]]    <ntsd -d>
[IFEO[KVScan.kxp]]    <ntsd -d>
[IFEO[KVSrvXP.exe]]    <ntsd -d>
[IFEO[KVStub.kxp]]    <ntsd -d>
[IFEO[kvupload.exe]]    <ntsd -d>
[IFEO[kvwsc.exe]]    <ntsd -d>
[IFEO[KvXP.kxp]]    <ntsd -d>
[IFEO[KvXP_1.kxp]]    <ntsd -d>
[IFEO[KWatch.exe]]    <ntsd -d>
[IFEO[KWatch9x.exe]]    <ntsd -d>
[IFEO[KWatchX.exe]]    <ntsd -d>
[IFEO[MagicSet.exe]]    <ntsd -d>
[IFEO[mcconsol.exe]]    <ntsd -d>
[IFEO[mmqczj.exe]]    <ntsd -d>
[IFEO[mmsk.exe]]    <ntsd -d>
[IFEO[Navapsvc.exe]]    <ntsd -d>
[IFEO[Navapw32.exe]]    <ntsd -d>
[IFEO[nod32.exe]]    <ntsd -d>
[IFEO[nod32krn.exe]]    <ntsd -d>
[IFEO[nod32kui.exe]]    <ntsd -d>
[IFEO[NPFMntor.exe]]    <ntsd -d>
[IFEO[PFW.exe]]    <ntsd -d>
[IFEO[PFWLiveUpdate.exe]]    <ntsd -d>
[IFEO[procexp.exe]]    <ntsd -d>
[IFEO[QHSET.exe]]    <ntsd -d>
[IFEO[QQDoctor.exe]]    <ntsd -d>
[IFEO[QQDoctorMain.exe]]    <ntsd -d>
[IFEO[QQKav.exe]]    <ntsd -d>
[IFEO[Ras.exe]]    <ntsd -d>
[IFEO[RavMonD.exe]]    <ntsd -d>
[IFEO[RavStub.exe]]    <ntsd -d>
[IFEO[RawCopy.exe]]    <ntsd -d>
[IFEO[RegClean.exe]]    <ntsd -d>
[IFEO[regmon.exe]]    <ntsd -d>
[IFEO[RegTool.exe]]    <ntsd -d>
[IFEO[rfwcfg.exe]]    <ntsd -d>
[IFEO[rfwmain.exe]]    <ntsd -d>
[IFEO[rfwProxy.exe]]    <ntsd -d>
[IFEO[rfwsrv.exe]]    <ntsd -d>
[IFEO[rfwstub.exe]]    <ntsd -d>
[IFEO[RsAgent.exe]]    <ntsd -d>
[IFEO[Rsaupd.exe]]    <ntsd -d>
[IFEO[runiep.exe]]    <ntsd -d>
[IFEO[safeboxTray.exe]]    <ntsd -d>
[IFEO[safelive.exe]]    <ntsd -d>
[IFEO[scan32.exe]]    <ntsd -d>
[IFEO[SelfUpdate.exe]]    <ntsd -d>
[IFEO[shcfg32.exe]]    <ntsd -d>
[IFEO[SmartUp.exe]]    <ntsd -d>
[IFEO[SREng.EXE]]    <ntsd -d>
[IFEO[SuperKiller.exe]]    <ntsd -d>
[IFEO[symlcsvc.exe]]    <ntsd -d>
[IFEO[SysSafe.exe]]    <ntsd -d>
[IFEO[taskmgr.exe]]    <ntsd -d>
[IFEO[TrojanDetector.exe]]    <ntsd -d>
[IFEO[Trojanwall.exe]]    <ntsd -d>
[IFEO[TrojDie.kxp]]    <ntsd -d>
[IFEO[UIHost.exe]]    <ntsd -d>
[IFEO[UmxAgent.exe]]    <ntsd -d>
[IFEO[UmxAttachment.exe]]    <ntsd -d>
[IFEO[UmxCfg.exe]]    <ntsd -d>
[IFEO[UmxFwHlp.exe]]    <ntsd -d>
[IFEO[UmxPol.exe]]    <ntsd -d>
[IFEO[UpLive.exe]]    <ntsd -d>
[IFEO[vsstat.exe]]    <ntsd -d>
[IFEO[webscanx.exe]]    <ntsd -d>
[IFEO[WoptiClean.exe]]    <ntsd -d>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[Atixeve23750 / Atixeve23750]    <\??\C:\WINDOWS\TEMP\~wxp2ins.468.tmp>
[cafesvr / cafesvr]    <\??\C:\WINDOWS\system32\cafesvr>
[zzxurs / zzxurs]    <\??\C:\WINDOWS\system32\zzxurs>
[zftp / zftp]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp9.tmp>
[WINIO / WINIO]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.563\QQ三国宝宝外挂\hknms.sys>
[ptfs / ptfs]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp17.tmp>
[pmkkge / pmkkge]    <\??\C:\WINDOWS\system32\pmkkge>
[ping / ping]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp19.tmp>
[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>
[msp2p32 / msp2p32]    <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[mnsf / mnsf]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp13.tmp>
[k9xv / k9xv]    <\SystemRoot\system32\drivers\k9xv.sys>
[jtio / jtio]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp15.tmp>
[ilgta / ilgta9]    <\SystemRoot\System32\DRIVERS\ilgta9.sys>
[HOSTNT / HOSTNT]    <\??\C:\WINDOWS\system32\drivers\hostnt.sys>
[cqit / cqit]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp>
[fmsq / fmsq]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF.tmp>

    系统修复－－　浏览器加载项之如下项删除：
[用比特精灵下载(&B)]    <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.532\bsup\BitSpirit\bsurl.htm>
[&Google]    <c:\program files\google\googletoolbar1.dll>
[Ad Engine]    <C:\Program Files\Yayad\AdCore.dll>
[VnetCookie Class]    <c:\PROGRA~1\chinanet\VNETTR~1.DLL>
[Ad Engine]    <C:\Program Files\Yayad\AdCore.dll>


自动清理方案操作步骤：
1。下载通用病毒杀灭机正式版(点击下载)，请先参考软件帮助说明。
2。下载附件中的修复指令文件*.dat 。
3。打开通用病毒杀灭机（打不开的建议改名，如abc.exe，abc.bat等），复制修复指令者使用剪贴板导入；下载修复指令文件的使用文件导入
    重启即可删除病毒，并帮助你删除自启动项和禁用服务。
（注：第一次重启有时候会弹出文件夹，那是由于自启动项目还没有删除，而文件已经被XDELBOX删除并用文件夹替代的结果）
防护建议:
1. 建议通过Windows Update或的漏洞扫描工具安装好系统补丁程序
2. 给系统管理员帐户设置足够复杂的管理员密码，最好是10位以上，字母+数字+其它符号
3. 安装使用网络防火墙软件，可以有效地阻挡病毒的入侵。
4. 关闭没有必要的共享目录
5. 禁用自动播放，用U盘时候，不要双击打开，用右键打
下载windows清理助手清理恶意软件
http://www.arswp.com/download.html
下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe
下载熊猫威金通用EXE文件修复器
http://www.dodudou.com/down/index.php?dirpath=./02.常用工具&order=0
下载IFEO修复程序
http://www.dodudou.com/down/IFEO.rar
下载安全模式修复工具
http://www.dodudou.com/down/index.php?dirpath=./02.常用工具&order=0

附件: 修复指令.rar

反正看了日志 感觉你中毒不浅  像什么google工具 雅虎助手啊 劝你都卸干净吧

:default24: 请问下重装系统能解决不?

能

我也感觉重装系统更省心。

那就重装吧  装好了赶紧杀遍毒吧 经常清理清理你的电脑

1.先下载IFEO修复程序
http://www.dodudou.com/down/IFEO.rar
下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp2.rar

下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe

2.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\wdhotemk.exe
c:\windows\system32\debug.exe
c:\docume~1\admini~1\locals~1\temp\thememms.nls
c:\windows\fonts\aekdaolf.dll
c:\windows\fonts\apsghjba.dll
c:\windows\fonts\ietzepaq.dll
c:\windows\fonts\ijdycpaw.dll
c:\windows\fonts\lopdfeab.dll
c:\windows\fonts\mndhhdwd.dll
c:\windows\fonts\mndsjsrv.dll
c:\windows\fonts\ptjhfhlp.dll
c:\windows\fonts\ypdjibmp.dll
c:\windows\fonts\ypcqihlp.dll
c:\windows\fonts\zptlesys.dll
c:\windows\fonts\zycbeime.dll
c:\windows\fonts\zywleime.dll
c:\windows\fonts\zywmjime.dll
c:\windows\fonts\zyzxjime.dll
c:\windows\system32\arjrller.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\jlgejgei32fg.dll
c:\windows\system32\msacm32.drv
c:\windows\system32\mttwfh.dll
c:\windows\system32\nhmxfjkl.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\zxmshwin.dll
c:\progra~1\mmsass~1\mmsass~1.dll
nicozftp01.dll,zxmshwin.dll wdhotem.dll,jlgejgei32fg.dll candayl.dll cxhole.dll dearnts.dll,nhmxfjkl.dll,arjrller.dll
c:\windows\temp\~wxp2ins.468.tmp
c:\windows\system32\zzxurs
c:\windows\system32\cafesvr
c:\docume~1\admini~1\locals~1\temp\tmp9.tmp
c:\docume~1\admini~1\locals~1\temp\rar$ex00.563\qq三国宝宝外挂\hknms.sys
c:\docume~1\admini~1\locals~1\temp\tmp17.tmp
c:\windows\system32\pmkkge
c:\docume~1\admini~1\locals~1\temp\tmp19.tmp
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\msosmsp2p32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\admini~1\locals~1\temp\tmp13.tmp
c:\windows\system32\drivers\k9xv.sys
c:\docume~1\admini~1\locals~1\temp\tmp15.tmp
c:\windows\system32\drivers\ilgta9.sys
c:\windows\system32\drivers\hostnt.sys
c:\docume~1\admini~1\locals~1\temp\tmpd.tmp
c:\docume~1\admini~1\locals~1\temp\tmpf.tmp
c:\docume~1\admini~1\locals~1\temp\tmpd.tmp
res://c:\progra~1\yahoo!\assist~1\assist\yasbar.dll/246
c:\progra~1\yahoo!\assist~1\assist\yasbar.dll
c:\program files\yayad\adcore.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{59109876-7619-9101-7012-901938475195}]    <C:\WINDOWS\Fonts\ietzepaq.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{10658451-2036-6541-2068-698745214601}]    <C:\WINDOWS\Fonts\aekdaolf.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{EC69134A-F15F-D14D-A31A-C31C4D124FCE}]    <C:\WINDOWS\system32\arjrller.dll>
[{628DF602-9541-A985-210A-984A698C6F26}]    <C:\WINDOWS\Fonts\ptjhfhlp.dll>
[{67AC9076-C898-B098-D098-A18319080976}]    <C:\WINDOWS\system32\nhmxfjkl.dll>
[{5A698102-5904-AFD0-20DF-CD1A65829CA5}]    <C:\WINDOWS\Fonts\zycbeime.dll>
[{B1954FAC-1023-154F-895A-1458258AD81B}]    <C:\WINDOWS\Fonts\ypdjibmp.dll>
[{A319A1F1-9410-9654-3201-345FFA34913A}]    <C:\WINDOWS\Fonts\zywmjime.dll>
[{57A924AF-1A5F-CF21-AB1D-1D5CF82A8A75}]    <C:\WINDOWS\Fonts\zywleime.dll>
[{AA59145F-315D-BC23-AC1F-145DF81A34AA}]    <C:\WINDOWS\Fonts\zyzxjime.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{AA59145F-315D-BC23-AC1F-145DF81A34AA}]    <C:\WINDOWS\Fonts\zyzxjime.dll>
[{57A924AF-1A5F-CF21-AB1D-1D5CF82A8A75}]    <C:\WINDOWS\Fonts\zywleime.dll>
[{A319A1F1-9410-9654-3201-345FFA34913A}]    <C:\WINDOWS\Fonts\zywmjime.dll>
[{B1954FAC-1023-154F-895A-1458258AD81B}]    <C:\WINDOWS\Fonts\ypdjibmp.dll>
[{67AC9076-C898-B098-D098-A18319080976}]    <C:\WINDOWS\system32\nhmxfjkl.dll>
[{628DF602-9541-A985-210A-984A698C6F26}]    <C:\WINDOWS\Fonts\ptjhfhlp.dll>
[{EC69134A-F15F-D14D-A31A-C31C4D124FCE}]    <C:\WINDOWS\system32\arjrller.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{10658451-2036-6541-2068-698745214601}]    <C:\WINDOWS\Fonts\aekdaolf.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{59109876-7619-9101-7012-901938475195}]    <C:\WINDOWS\Fonts\ietzepaq.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]    <C:\WINDOWS\system32\zsdgff.dll>
[{A7FD640A-158F-48AC-FD14-1597F14A977A}]    <C:\WINDOWS\Fonts\mndsjsrv.dll>
[{8C648541-1025-9650-9057-6541258720C8}]    <C:\WINDOWS\Fonts\mndhhdwd.dll>
[{A0AF1289-F140-A140-D012-C1458759FC0A}]    <C:\WINDOWS\Fonts\ypcqihlp.dll>
[{F490415F-65F8-B5C5-D8BA-9405FB12054F}]    <C:\WINDOWS\system32\jlgejgei32fg.dll>
[{9FD45A54-9875-698F-E56E-65102358FDF9}]    <C:\WINDOWS\Fonts\apsghjba.dll>
[{70940F85-F015-14F1-A05F-F69858AC6D07}]    <C:\WINDOWS\Fonts\zptlesys.dll>
[{AA041F13-A111-12A3-B0CF-F99818AA68AA}]    <C:\WINDOWS\system32\zxmshwin.dll>
[{C629FF4F-ACDB-5C90-A098-FACB3456A26C}]    <C:\WINDOWS\Fonts\lopdfeab.dll>
[{3A698452-C5D8-C584-C256-C264C987C5A3}]    <C:\WINDOWS\Fonts\ijdycpaw.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改：把<nicozftp01.dll,zxmshwin.dll wdhotem.dll,jlgejgei32fg.dll candayl.dll cxhole.dll dearnts.dll,nhmxfjkl.dll,arjrller.dll>修改为<>即清空

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[Atixeve23750 / Atixeve23750]    <\??\C:\WINDOWS\TEMP\~wxp2ins.468.tmp>
[zzxurs / zzxurs]    <\??\C:\WINDOWS\system32\zzxurs>
[cafesvr / cafesvr]    <\??\C:\WINDOWS\system32\cafesvr>
[zftp / zftp]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp9.tmp>
[WINIO / WINIO]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.563\QQ三国宝宝外挂\hknms.sys>
[ptfs / ptfs]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp17.tmp>
[pmkkge / pmkkge]    <\??\C:\WINDOWS\system32\pmkkge>
[ping / ping]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp19.tmp>
[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>
[msp2p32 / msp2p32]    <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[mnsf / mnsf]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp13.tmp>
[k9xv / k9xv]    <\SystemRoot\system32\drivers\k9xv.sys>
[jtio / jtio]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp15.tmp>
[ilgta / ilgta9]    <\SystemRoot\System32\DRIVERS\ilgta9.sys>
[HOSTNT / HOSTNT]    <\??\C:\WINDOWS\system32\drivers\hostnt.sys>
[cqit / cqit]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp>
[fmsq / fmsq]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF.tmp>
[cqit / cqit]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp>

    系统修复－－　浏览器加载项之如下项删除：
[雅虎搜索]    <res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246>
[雅虎助手]    <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll>
[雅虎助手]    <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll>
[雅虎助手]    <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll>
[Ad Engine]    <C:\Program Files\Yayad\AdCore.dll>

清理完毕再扫描日志上传

我按最先回贴的那位版主方法弄了后。。。结果感觉和没弄一样！！:default11:

附件: SREngLOG.log

病毒是没了

楼主没操作完

汗死

附件
清除全部映像劫持项

附件: 机器狗&映像劫持修复工具.rar

感觉和没弄差不多样！！:default11: 。。用的最先回贴版主的方法

附件: SREngLOG1.log

汗死
12楼方法
操作下

发一堆日志干嘛:default3:

哦。。不好意思。。我刚才没看到。。。结果又发了一个:default5:

你发的那个东西怎么用哦。。。。我还没用过 ，麻烦告诉下，谢谢！！

汗死
自己试么

:default46: 太谢谢了。。。。已经可以打开杀毒软件了！！

感动呀！！

如果发现系统文件debug.exe和taskmgr.exe被病毒替换，并异常的驻留进程中

那么重新找相同系统的正常文件来替换这debug.exe和taskmgr.exe的同时，必须要一起替换系统comctl32.dll 文件。

否则也会导致重启不能进系统的。

替换文件吧