瑞星卡卡安全论坛

我中午杀了一下毒  杀出了120个左右  然后重启了下 发现了新的问题
  活动的图标减少了 宽带的活动图标不见了 瑞星的图标也不见了
  瑞星的那些网络防护和电脑防护自动关闭了
    请求远程帮忙

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 661; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: SREngLOG.log (2011-1-15 17:50:09, 51.41 K)
该附件被下载次数 259

开电脑的时候显示
RUNDLL
加载c:\WINDOWS\MKMKrul.dll时出错。
找不到制定的模块

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MPMKrnl><rundll32 "C:\WINDOWS\MKMKrnl.dll",KMainProc>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
    <IFEO[360Safe.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arvmon.exe]
    <IFEO[arvmon.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe]
    <IFEO[AST.exe]><ntsd -d>  [N/A]
.........................
............
.....
类似的劫持项很多，耐心删除
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
Drivers
[GarenaPEngine / GarenaPEngine][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\GBQ4.tmp><N/A>

[YTTL / YTTL][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\yttl.sys><N/A>

—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
Browser Add-ons

[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[IEFXZ]
  {6A49F431-2A2E-41a5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZTool]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[IEFXZHelper]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC1} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZ]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
——————————————————————————————
下面文件复制备份后删除：

C:\WINDOWS\system32\qt-dx3.dll
C:\Program Files\Common Files\System\kb208680.CNT
C:\WINDOWS\TEMP\wmsetup.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsetup.dll

下面的系统重要文件找相同系统的文件替换回去
C:\WINDOWS\system32\srsvc.dll

打开SREng是这样的。。。。

在线求解决办法

汗呀，SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

照着图，慢慢的折腾吧:kaka6:

C:\WINDOWS\system32\qt-dx3.dll
C:\Program Files\Common Files\System\kb208680.CNT
C:\WINDOWS\TEMP\wmsetup.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsetup.dll

这几个一个都删不掉  显示
删除文件或文件夹时错误
无法删除 wmserup:访问被拒绝
清确定磁盘未满或未被保护
而且文件未被使用
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MPMKrnl><rundll32 "C:\WINDOWS\MKMKrnl.dll",KMainProc>  [File is missing]
这个删掉了
{6A49F431-2A2E-41a5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZTool]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[google cache]
{6A49F431-2A2E-41A5-9080-0F41D1A3AEC1} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZ]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll,
>{296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[IEFXZHelper]

这几个系统貌似好像说找不到了。、 反正就这个意思


在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
Browser Add-ons

[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[IEFXZ]
  {6A49F431-2A2E-41a5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZTool]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[IEFXZHelper]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC1} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZ]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
这几个删不了 我找不到浏览器加载项
及时按照你发的那个教程看  打开都是 ？？？？？问号一堆。。

这么有效果。。。 删掉了一个  然后把C:\WINDOWS\system32\srsvc.dll 替换了下 下面的瑞星和防火墙的图标出来了 电脑防护都自动开启了  下面的宽带的图标还没有 现在改做什么了

唉

我置顶工具贴里找工具去删除嘛

你的系统可能还有部分服务以及部分系统文件被病毒搞了，不能正常工作了

愿意的话恢复系统还原或重装系统

不能重做，就继续日志看吧，文件是必须删除的。

附件: SREngLOG.log (2011-1-15 20:39:10, 67.51 K)
该附件被下载次数 211

用FileASSASSINH.exe解除了3个 然后删掉了
在解除C:\WINDOWS\system32\qt-dx3.dll的时候  按执行 突然卡机 然后显示  什么什么过60秒关机并重启

日志显示，你虽然换了文件，似乎不是相同系统的：
C:\WINDOWS\system32\srsvc.dll

日志显示，进程中还加载了下面文件，想办法继续删除吧，实在不行进PE系统下删除试试：
C:\WINDOWS\system32\qt-dx3.dll
C:\Program Files\Common Files\System\kb208680.CNT
C:\WINDOWS\TEMP\wmsetup.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsetup.dll


这两驱动是需要删除的：
==================================
Drivers
[GarenaPEngine / GarenaPEngine][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\GBQ4.tmp><N/A>

[YTTL / YTTL][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\yttl.sys><N/A>

这浏览器加载项还得删除呀，文件明显的不正常：
==================================
Browser Add-ons

[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>

[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, N/A>
这两个东西我解除的时候系统显示
指定文件不存在或对FileASSASSIN不可见

C:\Program Files\Common Files\System\kb208680.CNT
这个我用软件解除 然后跳出3个程序出错我都按确定 然后就卡机 过一会就出了一个方框 显示60秒后关机        显示
因为C:\WINDOWS\system32\lsass.exe引起的
C:\WINDOWS\system32\srsvc.dll
我替换过了 继续发日志。。。

附件: SREngLOG.log (2011-1-15 21:27:59, 49 B)
该附件被下载次数 207

日志发错了

那个删除操作，可以考虑找别的工具嘛

怎非那FileASSASSIN不可呢，汗

还有如果你愿意的话，系统后期的被病毒恶搞的修复，建议金山急救箱扫描修复，网络中仅此一家修复的项目比较多了。

附件: SREngLOG.log (2011-1-16 8:12:14, 49 B)
该附件被下载次数 175

附件: SREngLOG.log (2011-1-16 9:23:11, 24.71 K)
该附件被下载次数 189

刚才好像又发错了

有些还是没删除完，现在还是那样的异常吧？？

病毒有时候的破坏范围太广，目前没有绝对有效的系统修复工具或软件。

无奈的。

有条件就恢复系统还原或重做系统吧

金山急救箱你试了没？？？

用金山全盘扫描 
  第一次好像是简略的  找出了222个
    然后都按修复 金山建议我全盘扫描  。。。 正在扫描呢