瑞星卡卡安全论坛

中了腾讯发奖的病毒  谁能指导一下    急啊

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)

如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

清理助手下载
  下载后 没办法使用    是不是被屏蔽了

改名运行

或者不运行了
直接上sreng日志

你看一下是不是这一个

附件: SREngLOG.log

上传日志了  没人理我啊

C:\WINDOWS\System32\System.exe
C:\WINDOWS\System32\anymie360.exe
C:\WINDOWS\System32\NPel.exe
C:\WINDOWS\System32\sv1F.tmp.exe
C:\WINDOWS\System32\Drivers\msiffei.sys
    [C:\WINDOWS\System32\csrss.dll]  [N/A, ]
    [C:\WINDOWS\System32\sh07006.dll]  [N/A, ]
    [C:\WINDOWS\System32\sh08025.dll]  [N/A, ]
    [C:\WINDOWS\System32\sh09028.dll]  [N/A, ]
    [C:\WINDOWS\System32\sh12019.dll]  [N/A, ]
    [C:\WINDOWS\System32\sh28016.dll]  [N/A, ]
    [C:\WINDOWS\System32\sinx32.dll]  [N/A, ]
  [c:\windows\system32\rpcss.dll]  [N/A, ]
  [C:\WINDOWS\System32\npdll.dll]  [N/A, ]
  [C:\WINDOWS\System32\halnoffa.dll]  [N/A, ]
    [C:\WINDOWS\System32\bjfhooge.dll]  [N/A, ]
    [C:\WINDOWS\System32\hafajfnh.dll]  [N/A, ]
    [C:\WINDOWS\System32\afkfapom.dll]  [N/A, ]
    [C:\WINDOWS\System32\mmcoiaeb.dll]  [N/A, ]
    [C:\WINDOWS\System32\hefgopnf.dll]  [N/A, ]
    [C:\WINDOWS\System32\holjbjbm.dll]  [N/A, ]
    [C:\WINDOWS\System32\fgnpimge.dll]  [N/A, ]
    [C:\WINDOWS\System32\cadpbbem.dll]  [N/A, ]
    [C:\WINDOWS\System32\lflokphn.dll]  [N/A, ]
    [C:\WINDOWS\System32\lhcmkmmn.dll]  [N/A, ]
    [C:\WINDOWS\System32\anymie360.dll]  [N/A, ]
    [C:\WINDOWS\System32\jlijcdej.dll]  [N/A, ]
    [C:\WINDOWS\System32\cpnjlijb.dll]  [N/A, ]
    [C:\WINDOWS\System32\ghicdpac.dll]  [N/A, ]
    [C:\WINDOWS\System32\fdeepdcn.dll]  [N/A, ]
    [C:\WINDOWS\System32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\System32\HBZHUXIAN.dll]  [N/A, ]
    [C:\WINDOWS\System32\HBWULIN2.dll]  [N/A, ]
    [C:\WINDOWS\System32\HBmhly.dll]  [N/A, ]
提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值。

是不是这些文件  一个一个找到  然后打包提交啊

版主  我的病毒什么时候能清除啊

附件: 新建文件夹.rar

H！B蝗！虫！木！马！群！
[url]http://cu003.www.duba.net/duba/tools/dubatools/install.exe[/url]
试试

因为你是Windows XP SP1系统，所以弄起来可能麻烦点

你必须断网操作：

你只有用SmtDel这个工具去删除病毒文件：

SmtDel下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=445131

将你下载的SmtDel程序解压出来放到系统盘C盘的文件夹里启动运行。

按照内附使用说明图操作，复制粘贴下面文件操作删除：

C:\WINDOWS\System32\csrss.dll
C:\WINDOWS\System32\sh07006.dll
C:\WINDOWS\System32\sh08025.dll
C:\WINDOWS\System32\sh09028.dll
C:\WINDOWS\System32\sh12019.dll
C:\WINDOWS\System32\sh28016.dll
C:\WINDOWS\System32\sinx32.dll
C:\WINDOWS\System32\anymie360.dll
C:\WINDOWS\System32\npdll.dll
C:\WINDOWS\System32\halnoffa.dll
C:\WINDOWS\System32\bjfhooge.dll
C:\WINDOWS\System32\hafajfnh.dll
C:\WINDOWS\System32\afkfapom.dll
C:\WINDOWS\System32\mmcoiaeb.dll
C:\WINDOWS\System32\hefgopnf.dll
C:\WINDOWS\System32\holjbjbm.dll
C:\WINDOWS\System32\fgnpimge.dll
C:\WINDOWS\System32\cadpbbem.dll
C:\WINDOWS\System32\lflokphn.dll
C:\WINDOWS\System32\lhcmkmmn.dll
C:\WINDOWS\System32\jlijcdej.dll
C:\WINDOWS\System32\cpnjlijb.dll
C:\WINDOWS\System32\ghicdpac.dll
C:\WINDOWS\System32\fdeepdcn.dll
C:\WINDOWS\System32\HBCHIBI.dll
C:\WINDOWS\System32\HBZHUXIAN.dll
C:\WINDOWS\System32\HBWULIN2.dll
C:\WINDOWS\System32\HBmhly.dll
C:\WINDOWS\System32\NPel.exe
C:\WINDOWS\System32\sv1F.tmp.exe
C:\WINDOWS\System32\System.exe
C:\WINDOWS\System32\Drivers\msiffei.sys

重启电脑自动运行完毕进入系统后，再立即继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。

就是将 <AppInit_DLLs> 的“值”项编辑置空

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：

启动项目
注册表
    <HBService32><System.exe>  [HB Software]
    <Alcmtr><anymie360.exe>  []
    <ge><C:\DOCUME~1\z\LOCALS~1\Temp\sv1D.tmp>  [File is missing]
    <{1A578FFA-F8C3-48D0-9FEE-52F14D3A95F8}><C:\WINDOWS\System32\halnoffa.dll>  []
    <{B3F1880E-F672-4A74-A76B-7217605987D5}><C:\WINDOWS\System32\bjfhooge.dll>  []
    <{1AFA3F71-BE4F-486C-930F-3A5B9DA35899}><C:\WINDOWS\System32\hafajfnh.dll>  []
    <{5491D9EC-EA46-42A4-B7CB-AC24706F4791}><C:\WINDOWS\System32\lkphdpec.dll>  [File is missing]
    <{66C82AEB-9555-43A4-9716-CE5774FA0C7A}><C:\WINDOWS\System32\mmcoiaeb.dll>  []
    <{1EF0897F-173F-4C84-994C-995C7139E42F}><C:\WINDOWS\System32\hefgopnf.dll>  []
    <{1853B3B6-6C27-4A7E-AAD9-F1D117E7B315}><C:\WINDOWS\System32\holjbjbm.dll>  []
    <{F079260E-6342-434E-A007-08C81A1ED10F}><C:\WINDOWS\System32\fgnpimge.dll>  []
    <{CAD9BBE6-DDDA-4B82-9DCE-C2B33B0FF24B}><C:\WINDOWS\System32\cadpbbem.dll>  []
    <{5F584917-73E6-452D-BCF7-B4B0C6A81148}><C:\WINDOWS\System32\lflokphn.dll>  []
    <{51C64667-0E0B-4248-AC94-2C3B4B0E3E63}><C:\WINDOWS\System32\lhcmkmmn.dll>  []
    <{3523CDE3-36A1-44C7-AE89-6DB55F606B71}><C:\WINDOWS\System32\jlijcdej.dll>  []
    <{C973523B-286F-4FCD-824B-C03D1A857CC3}><C:\WINDOWS\System32\cpnjlijb.dll>  []
    <{012CD9AC-F403-441B-906C-3C5874B8945F}><C:\WINDOWS\System32\ghicdpac.dll>  []
    <{FDEE9DC7-C7E7-4AC2-83BD-421664293249}><C:\WINDOWS\System32\fdeepdcn.dll>  []
    <{AF4FA986-A3E2-4CD5-8BF4-4A2B7B2F29D9}><C:\WINDOWS\System32\afkfapom.dll>  []
    <5491D9EC><C:\WINDOWS\System32\lkphdpec.dll>  [File is missing]
    <1A578FFA><C:\WINDOWS\System32\halnoffa.dll>  []
    <B3F1880E><C:\WINDOWS\System32\bjfhooge.dll>  []
    <1AFA3F71><C:\WINDOWS\System32\hafajfnh.dll>  []
    <AF4FA986><C:\WINDOWS\System32\afkfapom.dll>  []
    <66C82AEB><C:\WINDOWS\System32\mmcoiaeb.dll>  []
    <1EF0897F><C:\WINDOWS\System32\hefgopnf.dll>  []
    <1853B3B6><C:\WINDOWS\System32\holjbjbm.dll>  []
    <F079260E><C:\WINDOWS\System32\fgnpimge.dll>  []
    <CAD9BBE6><C:\WINDOWS\System32\cadpbbem.dll>  []
    <5F584917><C:\WINDOWS\System32\lflokphn.dll>  []
    <51C64667><C:\WINDOWS\System32\lhcmkmmn.dll>  []
    <3523CDE3><C:\WINDOWS\System32\jlijcdej.dll>  []
    <C973523B><C:\WINDOWS\System32\cpnjlijb.dll>  []
    <012CD9AC><C:\WINDOWS\System32\ghicdpac.dll>  []
    <FDEE9DC7><C:\WINDOWS\System32\fdeepdcn.dll>  []
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项，将启动类型改为“Disabled”
==================================
服务
[NPel / NPel][Running/Auto Start]
  <C:\WINDOWS\System32\NPel.exe><N/A>

[Provisioning Transaction Service / pangu222][Running/Auto Start]
  <C:\WINDOWS\System32\sv1F.tmp.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项，将启动类型改为“Disabled”
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>
——————————————————————————————————————
去你的系统c:\windows\system32\文件夹里查看是否有srpcss.dll文件，如果有，就将另一个c:\windows\system32\rpcss.dll文件改名为任意名，然后将你找到的srpcss.dll文件改名为rpcss.dll

然后重启电脑，看情况如何

你的杀毒软件必须彻底卸载了

然后用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件异常需要卸载重装，升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

病毒:default6:

瑞星杀毒软件病毒库版本21.12.12
Trojan.PSW.Win32.GameOL.ttp    sh12019.dll
Trojan.PSW.Win32.GameOL.tsn    sh09028.dll
Trojan.PSW.Win32.GameOL.tqn    sh08025.dll
Trojan.PSW.Win32.GameOL.tvr    sh07006.dll
Trojan.PSW.Win32.GameOL.try    rpcss.dll
Trojan.PSW.Win32.GameOL.ttl    mmcoiaeb.dll
Trojan.PSW.Win32.GameOL.toj    jlijcdej.dll
Trojan.PSW.Win32.GameOL.ttl    holjbjbm.dll
Trojan.PSW.Win32.GameOL.ttl    hefgopnf.dll
Trojan.PSW.Win32.GameOL.thy    HBZHUXIAN.dll
Trojan.PSW.Win32.GameOL.tvs    HBWULIN2.dll
Trojan.PSW.Win32.XYOnline.aiy    HBmhly.dll
Trojan.PSW.Win32.GameOL.tvu    HBCHIBI.dll
Trojan.PSW.Win32.GameOL.tte    halnoffa.dll
Trojan.PSW.Win32.GameOL.toj    hafajfnh.dll
Trojan.PSW.Win32.GameOL.ttl    ghicdpac.dll
Trojan.PSW.Win32.GameOL.ttl    fgnpimge.dll
Trojan.PSW.Win32.GameOL.ttl    fdeepdcn.dll
Trojan.PSW.Win32.GameOL.ttl    cpnjlijb.dll
Trojan.PSW.Win32.GameOL.tte    cadpbbem.dll
Trojan.PSW.Win32.GameOL.toj    bjfhooge.dll
Trojan.PSW.Win32.LMir.cfo    anymie360.dll>>upack0.34
Trojan.Win32.StartPage.ged    kavx.exe>>iexplore.exe>>upx_c
Trojan.Win32.StartPage.ged    kavx.exe>>iexplore.exe>>upx_c
AdWare.Win32.Agent.cri    2nj2.dll
Harm.Win32.Agent.dp    2.exe
Trojan.Win32.Nodef.pw    new1_0.exe
Harm.Win32.Agent.dn    HN71T4F53AHL.exe
Trojan.DL.Win32.Undef.dbk    WMIPRIVES.EXE
Trojan.DL.Win32.Undef.dbj    lassi.exe>>petite2x
AdWare.Win32.Agent.crk    w0.dll
Trojan.Win32.Nodef.pv    1[1].exe
Trojan.Win32.MyLover.w    360ME.exe>>upx_c
Harm.Win32.Agent.dp    7BDC06CC.exe
Trojan.Win32.Nodef.pw    new1_0.exe
Harm.Win32.Agent.dn    HN71T4F53AHL.exe
Trojan.DL.Win32.Undef.dbk    WMIPRIVES.EXE
Trojan.DL.Win32.Undef.dbj    lassi.exe>>petite2x
AdWare.Win32.Agent.crk    w0.dll
Trojan.Win32.Nodef.pv    1[1].exe
Trojan.Win32.MyLover.w    360ME.exe>>upx_c
Harm.Win32.Agent.dp    7BDC06CC.exe
Harm.Win32.Agent.dn    Rar.exe
Harm.Win32.Agent.dn    IG88LW.exe
Harm.Win32.Agent.dn    HN71T4F53AHL.exe
RootKit.Win32.DLLDrop.a    acpidisk.sys
RootKit.Win32.DLLDrop.a    acpidisk.sys
RootKit.Win32.DLLDrop.a    acpidisk.sys
RootKit.Win32.Undef.ew    dosss11.dll
RootKit.Win32.DLLDrop.a    acpidisk.sys
Harm.Win32.Agent.cw    ErrorXpath.exe
Trojan.PSW.Win32.GameOL.tpt    ZZ11.EXE
AdWare.Win32.Undef.eaa    $R0
AdWare.Win32.Agent.cnu    $R0
Trojan.Win32.Mnless.gem    CC4.EXE>>upx_c
Trojan.Win32.QQFish.ai    CC2.EXE>>upack0.39
Trojan.DL.Win32.MyDown.bfj    dflljy.exe>>upack0.34
Trojan.DL.Win32.Undef.czp    a1.exe>>upx_c

c:\windows\system32\rpcss.dll
你能找到XP-sp1的系统么？
找不到
就重装吧
装个XP-sp3的系统

我有sp1的文件

但是不能保证绝对有用

所以目前看他自己找原文件情况如何了

你。。。。。。。。。
商量下
http://bbs.ikaka.com/showtopic-8417665.aspx
这里是不是加一层sp1的

二层和三层是不是加个rpcss.dll文件？

超级郁闷  系统已经瘫痪了  我重装了 哇哇哇哇哇哇哇哇哇  郁闷啊  好多东西都没了