瑞星卡卡安全论坛

各位老师，本人昨天晚上下电影时不慎中毒，昨晚的报告上传后按游戏迷的指导操作了下，没有效果。今天一打开浏览器，直接从C盘运行一个DOS程序然后直接进入www.568.com这个网页。请求支援，谢谢～

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

附件: SREngLOG.log

忘记补充了句，后来按照DOS的路径我进入C盘把那个引导删除后，现浏览器直接进入该网页，我在工具栏里修改过主页，注册表也修改过，但是重启后依然，所以头都大了。刚才用RepairTool查到一个可疑的执行文件，我用压缩包的形式压缩了，在C:\Documents and Settings\All Users\Application Data\a.exe这个文件不知道是不是病毒，所以也一起传上来。希望大家帮忙解决下

附件: svhddf.rar

附件: a.rar

c:\iexplor.bat
c:\explor.bat
c:\windows\system32\ruixing.exe
将这三个可疑文件打包发送到可疑文件交流区。

晕，上次我根本就没让你进行杀毒操作……:default21:

让你提交文件，但你未能提交，汗……:default24:

这是我上次给你的回复（地址：http://bbs.ikaka.com/showtopic-8605103.aspx）：

回复楼上的朋友，此3个文件我在C盘未找到。不知道是什么原因？可以将具体路径说清楚点吗？最后SYSTEM32里面我没看到这个执行文件

该用户帖子内容已被屏蔽

呵呵，超级迷你来了啊？我在C:\Documents and Settings\All Users\Application Data里未找到你说的那个文件，我将该文件夹的图片发上来，麻烦你帮我在看下吧～谢谢

用附件找，估计你没有取消“隐藏受保护的操作系统文件”这个项目的勾选，导致WINRAR也无法找到：

附件: 冰刃.rar

一、运行冰刃后（期间瑞星会提示，请一律选择“信任”），然后在冰刃主界面上找到“文件”选项卡单击，按照如下可疑文件所在路径去找，每找到一个后，右键“复制到”，将文件复制到桌面，直至完成。
C:\svhddf.exe
C:\iexplor.bat
C:\Program Files\svhhos.exe
C:\WINDOWS\system32\ruixing.exe
C:\Documents and Settings\All Users\Application Data\ruixing.exe

二、第一步完成后，请用WINRAR压缩工具分别将复制到桌面的以上五个文件压缩，将压缩包提交上来！

5个只找到了3个，还有2个C:\Program Files\svhhos.exe
C:\WINDOWS\system32\ruixing.exe
未找到。我把那三个打包上来，麻烦帮我看看

附件: 桌面.rar

该用户帖子内容已被屏蔽

一、下载XDELBOX1.8，然后拔掉网线（以后所有操作必须在无网络连接状态下进行）；


二、运行XDELBOX1.8，在其主界面利用右键的“导入剪贴板不检查路径”、“立即重启执行删除”命令，一次性批量删除以下文件：
C:\svhddf.exe
C:\iexplor.bat
C:\Program Files\svhhos.exe
C:\WINDOWS\system32\ruixing.exe
C:\Documents and Settings\All Users\Application Data\ruixing.exe
C:\Documents and Settings\All Users\Application Data\a.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\daohang.htm


三、XDELBOX删除病毒并重启登陆系统后（期间不要做任何干涉），进入注册表编辑器，删除以下注册表残留：

1、注册表子项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360SE.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Start.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AdoIE.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avant.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GreenBrowser.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hsreg.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iemate.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IERepair.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KylinBrowser.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Maxthon.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MiniIE.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MyIE.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSTray.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SaaYaa.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\See9IE.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\srgui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sriecli.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\suda.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\theworld.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\top.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TouchNet.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TTraveler.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vu.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winpatrol.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\XWebStar.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zhinanzhenbrowser.exe]

2、注册表值项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <ringsig>


四、，重启电脑；


五、重启电脑后，用卡卡助手修复IE，之后连网，将杀软升级到最新版本，全盘杀毒。

游戏迷大哥，我真的只找到了4个，我已压缩了，在系统里面的那个我是真的没找到，是用冰刃找的，5个文件，我找到的都在文件名后加了个数字，麻烦帮我看下，我搞的头都大了

附件: 桌面1.rar

好，。谢谢，我现在就按照这办法来做，头好大啊

谢谢游戏迷大哥的帮助，现在已经好了，非常感谢:default6:

桌面上通过冰刃复制过来的那一堆病毒文件请自行删除，别忘记了……:default7: