瑞星卡卡安全论坛

不能卸载软件。在开始菜单中点击软件自带的卸载程序，瑞星就是给提示（图1）。每次都说重启删除，但是重启之后卸载软件时还会再次出现。

   

在网上搜了一下答案，答案很多，而且各不相同。

使用System Repair Engineer扫描日志，见附件。

不知道该怎么解决？请高手解答，谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: SREngLOG.log

据图分析，瑞星的木马行为防御拦截的文件在临时文件夹中。
建议点击开始-运行-输入%temp%-点击确定，将打开的文件夹内容清空后再试试。

********************************************************************
*    PLA'S Report For Your Problem [2.0.0]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010/7/31 - 15:27:48
* 报告分析作者：leo108
* 作者邮件地址：leo108@qq.com
* 作者其他信息：
* 报告正文开始：
********************************************************************
★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)
<C:\Documents and Settings\wenying.zhao\「开始」菜单\程序\启动\IPMSG2007.lnk --> E:\02E8B1~1.程\IPMSG2~1\IPMSG2~1.EXE [yatio]><N>
C:\WINDOWS\system32\sdqcntsv.exe
C:\WINDOWS\system32\WinClass.exe
★ *********************************************** ★

★ 『建议您清理的注册表项目』 ★
  ☆ HELP ☆
程序名称【WinClass】，映像路径【C:\WINDOWS\system32\WinClass.exe -servicehelper】
★ *********************************************** ★

★ 告知用户的其他事项： ★
把下面的文件传到世界杀毒网http://www.virustotal.com/zh-cn看看有没问题
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\stshelp.exe
C:\WINDOWS\system32\sychook.dll
C:\WINDOWS\system32\chatm.dll
C:\WINDOWS\system32\cmhtlv2.dll
C:\WINDOWS\system32\sdsinstk.dll
C:\WINDOWS\system32\yszfilt.dll
C:\WINDOWS\SYSTEM32\yszfilt.sys
C:\WINDOWS\SYSTEM32\drivers\YszHwFt.sys
★ *********************************************** ★

提示在临时文件夹里有毒，但病毒肯定不止在那一处，瑞星删除病毒后，在别的地方的病毒还会再次拷贝到临时文件夹中，所以还会再次提示，不是没删除掉而是病毒又被拷贝过来了，建议全盘杀毒，再用卡卡安全助手扫一下木马和恶意插件；

可能是现在病毒驻留在遗留的文件中，楼主根据图上的路径将该文件删除。如果有问题的话，请站内短信回复。

按照上述方法操作后，重启电脑，卸载程序时再度出现上述问题。
C:\DOCUME~1\WENYIN~1.ZHA\LOCALS~1\Temp文件夹中出现名为~nsu.tmp文件夹，文件夹下有名为“Au_.exe”文件，图标为准备卸载的软件的图标。如图

现在杀毒软件无法杀毒了。杀毒按钮可以点，但是没反应

LZ公司是否安装有winmanager？

很多服务我都没见过，如果是winmanager的服务项和程序请自行排除，以下程序都很可疑。
********************************************************************
*    PLA'S Report For Your Problem [1.1.42]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010-7-31 - 16:34:22
* 报告分析作者：风
* 作者邮件地址：
* 作者其他信息：
* 报告正文开始：
********************************************************************
★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆
服务名【WinClass】，对应文件【C:\WINDOWS\system32\WinClass.exe -service】
服务名【Network Log Service】，对应文件【C:\WINDOWS\system32\sdqcntsv.exe -service】
服务名【System Help Service】，对应文件【C:\WINDOWS\system32\stshelp.exe -service】
驱动名【yszfilter】，对应文件【C:\WINDOWS\SYSTEM32\yszfilt.sys】
驱动名【YszHwFt】，对应文件【C:\WINDOWS\SYSTEM32\drivers\YszHwFt.sys】
★ *********************************************** ★

★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)
<C:\Documents and Settings\wenying.zhao\「开始」菜单\程序\启动\IPMSG2007.lnk --> E:\02E8B1~1.程\IPMSG2~1\IPMSG2~1.EXE [yatio]><N>//这个程序添加到启动项，在开始菜单--启动中就可以看到。
C:\WINDOWS\system32\sychook.dll
C:\WINDOWS\system32\cmhtlv2.dll
C:\WINDOWS\system32\WinClass.exe
C:\WINDOWS\system32\sdqcntsv.exe
C:\WINDOWS\system32\WinClass.exe -service
C:\WINDOWS\system32\sdqcntsv.exe -service
C:\WINDOWS\system32\stshelp.exe -service
C:\WINDOWS\system32\WinClass.exe -servicehelper
C:\WINDOWS\SYSTEM32\yszfilt.sys
C:\WINDOWS\SYSTEM32\drivers\YszHwFt.sys
★ *********************************************** ★

★ 『建议您清理的注册表项目』 ★
  ☆ HELP ☆
程序名称【WinClass】，映像路径【C:\WINDOWS\system32\WinClass.exe -servicehelper】
★ *********************************************** ★

LZ可以尝试使用windows清理专家清理一下系统。看你的日志没发现劫持杀软的项目。
尝试修复杀软。

清理过了。。但没效果

瑞星是企业版的，添加删除组件时需要密码。。不知道在哪里进入那个修复/卸载界面呢。。

好专业的报告，谢谢

我也不清楚winmanager是不是装过。如果那个是监控网络的话可能是装过。因为公司电脑要加入域，所以可能在这过程中装上的吧。

IPMSG是公司内部的通讯工具，这个应该没问题。

别的程序我也看不懂了~

卡卡没扫出东西来

瑞星杀毒目前无法启动，不知道是不是这个该死的病毒干的

这个也很专业。。

谢谢

除了一个文件我认识（IPMSG）其他的我也看不懂。

按照你所说的我先试试。。

瑞星木马行为防御在高级别下容易误报卸载程序释放的临时文件，
先解释一下，malicious code是恶意代码的意思
出现这种情况，选择【信任】就可以了，然后重新运行卸载程序，应该能够正常卸载。
另外，您所使用的瑞星版本为瑞星2009，建议重新安装瑞星产品，人为升级到瑞星2010