瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 9命!
大将风度 - 2009-1-14 14:17:00
告诉我清除病毒的方法!
别怕我不懂!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)

附件: SREngLOG.log
帅哥阿福 - 2009-1-14 14:21:00
D:\Program Files\vsdrv\vsdrv.exe
D:\WINDOWS\system32\wd0105.dll
D:\WINDOWS\system32\System.exe
D:\Program Files\Internet Explorer\JoozNt08.zzx
D:\WINDOWS\system32\Nskhelper2.sys
D:\WINDOWS\system32\nsPass0.sys
D:\WINDOWS\system32\4B036E0E.dat
d:\windows\system32\rpcss.dll
D:\WINDOWS\system32\anymie360.dll
    [D:\WINDOWS\system32\wd0105.dll]  [N/A, ]
    [D:\WINDOWS\system32\appabdfe.dll]  [N/A, ]
[D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat
D:\WINDOWS\system32\wd0105.dll
    [D:\WINDOWS\system32\wd0105.dll]  [N/A, ]
    [D:\WINDOWS\system32\appabdfe.dll]  [N/A, ]
    [D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
    [D:\Program Files\Internet Explorer\JoozNt08.zzx]  [N/A, ]
    [D:\WINDOWS\system32\fofkkkoj.dll]  [N/A, ]
    [D:\WINDOWS\system32\fnlalocc.dll]  [N/A, ]
    [D:\WINDOWS\system32\kinbemjp.dll]  [N/A, ]
    [D:\WINDOWS\system32\ajaallee.dll]  [N/A, ]
    [D:\WINDOWS\system32\fidmepnl.dll]  [N/A, ]
    [D:\WINDOWS\system32\wd0105.dll]  [N/A, ]
    [D:\WINDOWS\system32\appabdfe.dll]  [N/A, ]
    [D:\WINDOWS\system32\kinbemjp.dll]  [N/A, ]
    [D:\WINDOWS\system32\ajaallee.dll]  [N/A, ]
    [D:\WINDOWS\system32\fidmepnl.dll]  [N/A, ]
  [D:\WINDOWS\system32\fofkkkoj.dll]  [N/A, ]
C:\justkt.dll
提交到这里,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml

删除注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
小日来了 - 2009-1-14 14:23:00
[nsPsDk00 / nsPsDk00][Running/Disabled]
  <\??\D:\WINDOWS\system32\nsPass0.sys><N/A>
[nsPsDk01 / nsPsDk01][Running/Disabled]
  <\??\D:\WINDOWS\system32\nsPass1.sys><N/A>
[nsPsDk02 / nsPsDk02][Running/Disabled]
  <\??\D:\WINDOWS\system32\nsPass2.sys><N/A>
[nsPsDk03 / nsPsDk03][Running/Disabled]
  <\??\D:\WINDOWS\system32\nsPass3.sys><N/A>
[nsPsDk04 / nsPsDk04][Running/Disabled]
  <\??\D:\WINDOWS\system32\nsPass4.sys><N/A>

这几个驱动是啥?
aaccbbdd - 2009-1-14 14:24:00
那不是光光介绍的下载器的驱动:default3:
shouhou - 2009-1-14 14:25:00
上报以下文件

D:\WINDOWS\system32\Nskhelper2.sys

  D:\WINDOWS\system32\nsPass0.sys

D:\WINDOWS\system32\nsPass1.sys

D:\WINDOWS\system32\nsPass2.sys

  D:\WINDOWS\system32\nsPass3.sys
[
  D:\WINDOWS\system32\nsPass4.sys

  <System32\Drivers\msiffei.sys

D:\WINDOWS\system32\4B036E0E.dat

[D:\WINDOWS\system32\wd0105.dll] 
    [D:\WINDOWS\system32\appabdfe.dll] 
    [D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat] 
    [D:\Program Files\Internet Explorer\JoozNt08.zzx]
    [D:\WINDOWS\system32\fofkkkoj.dll] 
    [D:\WINDOWS\system32\fnlalocc.dll] 
    [D:\WINDOWS\system32\kinbemjp.dll] 
    [D:\WINDOWS\system32\ajaallee.dll]  [
    [D:\WINDOWS\system32\fidmepnl.dll]
[D:\WINDOWS\system32\wd0105.dll] 
    [D:\WINDOWS\system32\appabdfe.dll]  [
    [D:\WINDOWS\system32\kinbemjp.dll]
    [D:\WINDOWS\system32\ajaallee.dll] 
    [D:\WINDOWS\system32\fidmepnl.dll] 
    [D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat] 
    [D:\WINDOWS\system32\fnlalocc.dll]
    [D:\Program Files\Internet Explorer\JoozNt08.zzx]
    [D:\WINDOWS\system32\fofkkkoj.dll]
小日来了 - 2009-1-14 14:26:00


引用:
原帖由 aaccbbdd 于 2009-1-14 14:24:00 发表

那不是光光介绍的下载器的驱动:default3: 


小狮子,你说的啥?
aaccbbdd - 2009-1-14 14:37:00
1.
断开网络,开始—运行—输入services.msc,把下列服务设置为“禁用”:Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time

2.打开D:\windows\system32\dllcache文件夹 依次找到

schedsvc.dll

appmgmts.dll

srsvc.dll

w32time.dll

wiaservc.dll
文件

分别覆盖掉D:\windows\system32\schedsvc.dll

D:\windows\System32\appmgmts.dll

D:\windows\System32\srsvc.dll

D:\windows\System32\w32time.dll

D:\windows\system32\wiaservc.dll

参见:http://bbs.ikaka.com/showtopic-8561436.aspx
替换本机rpcss.dll

3.复制以下文件,用附件1删除(勾选抑制再生)

d:\windows\system32\wd0105.dll
d:\program files\internet explorer\jooznt08.zzx
d:\docume~1\admini~1\locals~1\temp\wowinitcode.dat
d:\windows\system32\ajaallee.dll
d:\windows\system32\anymie360.dll
d:\windows\system32\appabdfe.dll
d:\windows\system32\arjxsjdll.dll
d:\windows\system32\fidmepnl.dll
d:\windows\system32\fnlalocc.dll
d:\windows\system32\fofkkkoj.dll
d:\windows\system32\kinbemjp.dll
d:\windows\system32\sh02015.dll
d:\windows\system32\sh05022.dll
d:\windows\system32\sh07006.dll
d:\windows\system32\sh08025.dll
d:\windows\system32\sh12019.dll
d:\windows\system32\sh27021.dll
d:\windows\system32\sh28016.dll
d:\windows\system32\sh29006.dll
d:\windows\intel\baiduc.dll
d:\windows\system32\4b036e0e.dat
c:\windows\system32\drivers\msiffei.sys
d:\windows\system32\nspass4.sys
d:\windows\system32\nspass3.sys
d:\windows\system32\nspass2.sys
d:\windows\system32\nspass1.sys
d:\windows\system32\nspass0.sys
d:\windows\system32\nskhelper2.sys
d:\windows\system32\artlbbdll.dll
d:\windows\intel\pctools_2009114_7816.dll
C:\justkt.dll
D:\justkt.dll
E:\justkt.dll
F:\justkt.dll
G:\justkt.dll
H:\justkt.dll
C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
D:\WINDOWS\system32\wd0105.dll

4.删除重启后使用SREng修复下面各项:
    <F2D6E975><D:\WINDOWS\system32\fidmepnl.dll>  []
    <A99ABDFE><D:\WINDOWS\system32\appabdfe.dll>  []
    <A3AA55EE><D:\WINDOWS\system32\ajaallee.dll>  []
    <427BE639><D:\WINDOWS\system32\kinbemjp.dll>  []
    <F75A58CC><D:\WINDOWS\system32\fnlalocc.dll>  []
    <F8F44483><D:\WINDOWS\system32\fofkkkoj.dll>  []
    <{5A041F13-A111-12A4-B0CF-F99818AA68A5}><D:\WINDOWS\system32\artlbbdll.dll>  []
    <{5A041F13-A111-12B3-B0CF-F99818AA68A5}><D:\WINDOWS\system32\arjxsjdll.dll>  []
    <{F2D6E975-DFDD-434E-ACAE-873B6BE7CF10}><D:\WINDOWS\system32\fidmepnl.dll>  []
    <{A99ABDFE-4096-4710-8E61-D063F5F9181E}><D:\WINDOWS\system32\appabdfe.dll>  []
    <{A3AA55EE-E100-40B1-98CC-6BB5232815A6}><D:\WINDOWS\system32\ajaallee.dll>  []
    <{427BE639-1CF4-409C-8B47-67AFCAA81242}><D:\WINDOWS\system32\kinbemjp.dll>  []
    <{F75A58CC-1486-468D-8727-861B9872128A}><D:\WINDOWS\system32\fnlalocc.dll>  []
    <{F8F44483-C21A-4E0A-9491-F18D76DF1308}><D:\WINDOWS\system32\fofkkkoj.dll>  []
    <{D38EC95C-0BEE-4404-A0E0-8FF9764F6D74}><D:\Program Files\Internet Explorer\JoozNt08.zzx>  []
  <Startwd><rundll32.exe D:\WINDOWS\system32\wd0105.dll,Hook>  []
    <HBService32><System.exe>  [HB Software]
    <Alcmtr><anymie360.exe>  []
  注意:<AppInit_DLLs><HBZHUXIAN.dll,kmon.dll,fidmepnl.dll,appabdfe.dll,ajaallee.dll,kinbemjp.dll,fnlalocc.dll,fofkkkoj.dll>  []
改为<AppInit_DLLs><>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[Safe Mon 360 / SafeMon0]    <\??\D:\WINDOWS\system32\4B036E0E.dat>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[nsPsDk04 / nsPsDk04]    <\??\D:\WINDOWS\system32\nsPass4.sys>
[nsPsDk03 / nsPsDk03]    <\??\D:\WINDOWS\system32\nsPass3.sys>
[nsPsDk02 / nsPsDk02]    <\??\D:\WINDOWS\system32\nsPass2.sys>
[nsPsDk01 / nsPsDk01]    <\??\D:\WINDOWS\system32\nsPass1.sys>
[nsPsDk00 / nsPsDk00]    <\??\D:\WINDOWS\system32\nsPass0.sys>
[NsDlRK250 / NsDlRK250]    <\??\D:\WINDOWS\system32\Nskhelper2.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <D:\WINDOWS\system32\artlbbdll.dll>
[]    <D:\WINDOWS\system32\arjxsjdll.dll>
[]    <D:\WINDOWS\system32\artlbbdll.dll>
[]    <D:\WINDOWS\system32\arjxsjdll.dll>
[Info cache]    <D:\WINDOWS\Intel\pctools_2009114_7816.dll>

5.最后附件2清除全部映像劫持项
6.附件3清理全部临时文件夹


附件: 3-6-0-文-件-粉-碎-器1.4版.rar

附件: 映像劫持修复工具.rar

附件: 清理临时文件工具ATF-Cleaner-cn.zip
aaccbbdd - 2009-1-14 14:37:00
http://bbs.ikaka.com/showtopic-8570012.aspx
大将风度 - 2009-1-14 18:21:00
已经按照要求处理了!
我又扫描了一份日志.......看看,还有事情不?

附件: SREngLOG.log
大将风度 - 2009-1-14 20:08:00
人呢......
aaccbbdd - 2009-1-14 20:12:00
启动项目 -- 服务-- 驱动程序之如下项删除:
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[NsDlRK250 / NsDlRK250][Stopped/Manual Start]
  <\??\D:\WINDOWS\system32\Nskhelper2.sys><N/A>

楼主能不能不同时安装2杀毒软件。。:default3:
大将风度 - 2009-1-14 22:13:00
偶已经把瑞星卸载了!
现在用的是超级巡警+U盘巡警+畅游巡警+卡卡助手+360安全卫士+超级巡警保险柜!
^_^:default6:
aaccbbdd - 2009-1-14 22:15:00
...............
什么破搭配:default3:

这个搭配上网死的会很惨:default8:
天月来了 - 2009-1-15 8:32:00
HOSTS 文件清理下
1
查看完整版本: 9命!
© 2000 - 2026 Rising Corp. Ltd.