万万火急，高手帮忙，附扫描报告，谢谢。 bbs.ikaka.com

风烟 - 2008-11-17 20:21:00

十万火急！碰到WINDOWS PE病毒无法清除正版瑞星无法打开
各位高手，我的求助问题如题，正版瑞星杀毒软件和卡卡在正常和安全模式下均无法打开，但在瑞星杀毒开机检测（应该还是DOS界面）可以查到5个病毒文件（现在扫描又多1个了，6个了）：Rootkit.win32.undef.nj,Rootkit.win32.undef.xr,Rootkit.win32.undef.wk;Rootkit.win32.Mnless.ajr,Rootkit.win32.Mnless.akk。
起初会自动关机，不知怎么又不会了；后来会自动关闭IE浏览器，IE主页被篡改，打开IE会弹出N多窗口关闭不了；点击“我的电脑”进不去，上述问题因正版瑞星杀毒软件和卡卡在正常和安全模式下均无法打开，所以杀不了，也没有查到相关专杀工具，痛苦呀，请高手帮忙！在线等。谢谢。
用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

附件: SREngLOG.log

soaika - 2008-11-17 20:55:00

楼主可以先在这http://dl.rising.com.cn/DownLoadInfo/2008-06-18/1213783336d47779.shtml下载一个木马群病毒专杀及修复工具进行查杀及修复一下~ 然后瑞星就能打开了~ 再升级瑞星进行全盘杀毒~

风烟 - 2008-11-17 21:11:00

谢谢。按你的方法试过了，看来还是不行啊。
下载了木马群病毒专杀及修复工具进行查杀及修复后，瑞星还是打不开，一打开马上就关闭了，卡卡助手和防火墙也不行。哎，谁能帮我！

soaika - 2008-11-17 21:13:00

楼主下载个瑞星听诊器

下载地址：http://download.rising.com.cn/for_down/RsDetect.exe

运行扫描后会生成一个“瑞星听诊信息.htm”的文件，压缩后上报瑞星分析：

上报地址：http://up.rising.com.cn/webmail/othernew.htm

水中蝌蚪 - 2008-11-18 9:47:00

用附件里的工具先去劫持项

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\system.exe
c:\windows\cmmon32.exe
c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\4jq32hqv\02[1].exe
c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\wxgtilsx\07[1].exe
c:\windows\system32\craoek.exe
c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\m529anqn\10[2].txt
c:\windows\system32\csrss.dll
c:\windows\system32\sh05003.dll
c:\windows\system32\sh14013.dll
c:\windows\system32\sh18017.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbqqxx.dll
c:\windows\system32\mapi32.dll
c:\program files\internet explorer\vitnnt64.987
c:\windows\255528mm.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\16af66eb.dll
c:\windows\system32\4d023de9.dll
c:\windows\system32\4fbfd5a4.dll
c:\windows\system32\58ff3024.dll
c:\windows\system32\5934ea2b.dll
c:\windows\system32\70b0129e.dll
c:\windows\system32\755d0ed0.dll
c:\windows\system32\8566f82e.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\9f684de8.dll
c:\windows\system32\d7c79813.dll
c:\windows\system32\dtqofmos.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\f8ab57e9.dll
c:\windows\system32\com\1.2.2\wndhook.dll
c:\windows\system32\lmtlsb.dll
c:\windows\system32\msgati.dll
c:\windows\system32\sysmxd3.dll
c:\windows\system32\syssq8.dll
c:\windows\temp\element.dll
c:\windows\temp\zpwgamerecord.dll
c:\windows\system32\winsysdwn.dll
c:\windows\htmlpeek.dll
c:\windows\system32\acdess.dll
c:\windows\system32\123.exe
c:\windows\system32\drivers\123.sys
c:\windows\system32\nskhelper2.sys
c:\windows\system32\drivers\hbkernel32.sys
g:\install\gmsipci.sys
c:\000f9dfc\000f9e04
c:\windows\system32\drivers\fksst.sys
c:\windows\system32\f35ee9e.sys
c:\windows\system32\de8296f.sys
c:\windows\system32\d7b49fa.sys
c:\windows\system32\c39e8db.sys

在同样系统的电脑里将c:\windows\system32\rpcss.dll覆盖到本机的该路径下。

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Windows Image Acquisition (GRJ) / Windows Image Acquisition (GRJ)] <C:\WINDOWS\SYSTEM32\123.exe -u>
[Windows Time / W32Time] <C:\WINDOWS\system32\winsysdwn.dll>

启动项目－－服务－－驱动程序之如下项禁用：
[usbmouseb / usbmouseb] <\??\C:\WINDOWS\SYSTEM32\drivers\123.sys>
[NsReSDev1 / NsReSDev1] <\??\C:\WINDOWS\system32\Nskhelper2.sys>
[HBKernel32 Driver / HBKernel32] <\SystemRoot\system32\drivers\HBKernel32.sys>
[GMSIPCI / GMSIPCI] <\??\G:\INSTALL\GMSIPCI.SYS>
[xxxALLGUARD / xxxALLGUARD] <\??\C:\000F9DFC\000F9E04>
[fksst / fksst] <\SystemRoot\system32\drivers\fksst.sys>
[f35ee9e / f35ee9e] <\??\C:\WINDOWS\system32\f35ee9e.sys>
[de8296f / de8296f] <\??\C:\WINDOWS\system32\de8296f.sys>
[d7b49fa / d7b49fa] <\??\C:\WINDOWS\system32\d7b49fa.sys>
[c39e8db / c39e8db] <\??\C:\WINDOWS\system32\c39e8db.sys>

系统修复－－　浏览器加载项之如下项删除：
[] <C:\Program Files\Internet Explorer\VitnNt64.987>

附件: 修复应用程序劫持项.zip

瑞星卡卡安全论坛