第一次独立帮求助者分析日志,请参考下吧
请断网操作
1.建议使用XDelBox删除以下文件:(
XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
c:\windows\system32\wklsdd.dll
c:\windows\fonts\ietzepaq.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\fsrgeb.dll
c:\windows\fonts\aekdaolf.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\arjrller.dll
c:\windows\fonts\ptjhfhlp.dll
c:\windows\system32\nhmxfjkl.dll
c:\windows\fonts\zycbeime.dll
c:\windows\fonts\ypdjibmp.dll
c:\windows\fonts\zywmjime.dll
c:\windows\fonts\zywleime.dll
c:\windows\fonts\zyzxjime.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\zsdgff.dll
c:\windows\fonts\mndsjsrv.dll
c:\windows\fonts\mndhhdwd.dll
c:\windows\fonts\ypcqihlp.dll
c:\windows\system32\jlgejgei32fg.dll
c:\windows\fonts\apsghjba.dll
c:\windows\fonts\zptlesys.dll
c:\windows\system32\zxmshwin.dll
c:\windows\fonts\lopdfeab.dll
c:\windows\fonts\ijdycpaw.dll
c:\windows\system32\mttwfh.dll
nicozftp01.dll,zxmshwin.dll wdhotem.dll,jlgejgei32fg.dll candayl.dll cxhole.dll dearnts.dll,nhmxfjkl.dll,arjrller.dll
ntsd -d
c:\windows\temp\~wxp2ins.468.tmp
c:\windows\system32\cafesvr
c:\windows\system32\zzxurs
c:\docume~1\admini~1\locals~1\temp\tmp9.tmp
c:\docume~1\admini~1\locals~1\temp\rar$ex00.563\qq三国宝宝外挂\hknms.sys
c:\docume~1\admini~1\locals~1\temp\tmp17.tmp
c:\windows\system32\pmkkge
c:\docume~1\admini~1\locals~1\temp\tmp19.tmp
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\msosmsp2p32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\admini~1\locals~1\temp\tmp13.tmp
c:\windows\system32\drivers\k9xv.sys
c:\docume~1\admini~1\locals~1\temp\tmp15.tmp
c:\windows\system32\drivers\ilgta9.sys
c:\windows\system32\drivers\hostnt.sys
c:\docume~1\admini~1\locals~1\temp\tmpd.tmp
c:\docume~1\admini~1\locals~1\temp\tmpf.tmp
c:\docume~1\admini~1\locals~1\temp\rar$ex01.532\bsup\bitspirit\bsurl.htm
c:\program files\google\googletoolbar1.dll
c:\program files\yayad\adcore.dll
c:\progra~1\chinanet\vnettr~1.dll
2.删除重启后使用SREng修复下面各项: 启动项目 -- 注册表之如下项删除:
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] <C:\WINDOWS\system32\wklsdd.dll>
[{59109876-7619-9101-7012-901938475195}] <C:\WINDOWS\Fonts\ietzepaq.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] <C:\WINDOWS\system32\fsrgeb.dll>
[{10658451-2036-6541-2068-698745214601}] <C:\WINDOWS\Fonts\aekdaolf.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] <C:\WINDOWS\system32\tdfhex.dll>
[{EC69134A-F15F-D14D-A31A-C31C4D124FCE}] <C:\WINDOWS\system32\arjrller.dll>
[{628DF602-9541-A985-210A-984A698C6F26}] <C:\WINDOWS\Fonts\ptjhfhlp.dll>
[{67AC9076-C898-B098-D098-A18319080976}] <C:\WINDOWS\system32\nhmxfjkl.dll>
[{5A698102-5904-AFD0-20DF-CD1A65829CA5}] <C:\WINDOWS\Fonts\zycbeime.dll>
[{B1954FAC-1023-154F-895A-1458258AD81B}] <C:\WINDOWS\Fonts\ypdjibmp.dll>
[{A319A1F1-9410-9654-3201-345FFA34913A}] <C:\WINDOWS\Fonts\zywmjime.dll>
[{57A924AF-1A5F-CF21-AB1D-1D5CF82A8A75}] <C:\WINDOWS\Fonts\zywleime.dll>
[{AA59145F-315D-BC23-AC1F-145DF81A34AA}] <C:\WINDOWS\Fonts\zyzxjime.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] <C:\WINDOWS\system32\zsdgff.dll>
[{A7FD640A-158F-48AC-FD14-1597F14A977A}] <C:\WINDOWS\Fonts\mndsjsrv.dll>
[{8C648541-1025-9650-9057-6541258720C8}] <C:\WINDOWS\Fonts\mndhhdwd.dll>
[{A0AF1289-F140-A140-D012-C1458759FC0A}] <C:\WINDOWS\Fonts\ypcqihlp.dll>
[{F490415F-65F8-B5C5-D8BA-9405FB12054F}] <C:\WINDOWS\system32\jlgejgei32fg.dll>
[{9FD45A54-9875-698F-E56E-65102358FDF9}] <C:\WINDOWS\Fonts\apsghjba.dll>
[{70940F85-F015-14F1-A05F-F69858AC6D07}] <C:\WINDOWS\Fonts\zptlesys.dll>
[{AA041F13-A111-12A3-B0CF-F99818AA68AA}] <C:\WINDOWS\system32\zxmshwin.dll>
[{C629FF4F-ACDB-5C90-A098-FACB3456A26C}] <C:\WINDOWS\Fonts\lopdfeab.dll>
[{3A698452-C5D8-C584-C256-C264C987C5A3}] <C:\WINDOWS\Fonts\ijdycpaw.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}] <C:\WINDOWS\system32\mttwfh.dll>
注意该项[AppInit_DLLs]修改:把<nicozftp01.dll,zxmshwin.dll wdhotem.dll,jlgejgei32fg.dll candayl.dll cxhole.dll dearnts.dll,nhmxfjkl.dll,arjrller.dll>修改为<>即清空
[IFEO[360rpt.exe]] <ntsd -d>
[IFEO[360SAFE.exe]] <ntsd -d>
[IFEO[360safebox.exe]] <ntsd -D>
[IFEO[360tray.exe]] <ntsd -d>
[IFEO[adam.exe]] <ntsd -d>
[IFEO[AgentSvr.exe]] <ntsd -d>
[IFEO[AntiArp.exe]] <ntsd -d>
[IFEO[AppSvc32.exe]] <ntsd -d>
[IFEO[autoruns.exe]] <ntsd -d>
[IFEO[avconsol.exe]] <ntsd -d>
[IFEO[avgrssvc.exe]] <ntsd -d>
[IFEO[AvMonitor.exe]] <ntsd -d>
[IFEO[avp.com]] <ntsd -d>
[IFEO[avp.exe]] <ntsd -d>
[IFEO[CCenter.exe]] <ntsd -d>
[IFEO[ccSvcHst.exe]] <ntsd -d>
[IFEO[EGHOST.exe]] <ntsd -d>
[IFEO[FileDsty.exe]] <ntsd -d>
[IFEO[filemon.exe]] <ntsd -d>
[IFEO[FTCleanerShell.exe]] <ntsd -d>
[IFEO[FYFireWall.exe]] <ntsd -d>
[IFEO[GFRing3.exe]] <ntsd -d>
[IFEO[GFUpd.exe]] <ntsd -d>
[IFEO[HijackThis.exe]] <ntsd -d>
[IFEO[iparmo.exe]] <ntsd -d>
[IFEO[Iparmor.exe]] <ntsd -d>
[IFEO[isPwdSvc.exe]] <ntsd -d>
[IFEO[kabaload.exe]] <ntsd -d>
[IFEO[KaScrScn.SCR]] <ntsd -d>
[IFEO[KASMain.exe]] <ntsd -d>
[IFEO[KASTask.exe]] <ntsd -d>
[IFEO[KAV32.exe]] <ntsd -d>
[IFEO[KAVDX.exe]] <ntsd -d>
[IFEO[KAVPF.exe]] <ntsd -d>
[IFEO[KAVPFW.exe]] <ntsd -d>
[IFEO[KAVSetup.exe]] <ntsd -d>
[IFEO[KAVStart.exe]] <ntsd -d>
[IFEO[KISLnchr.exe]] <ntsd -d>
[IFEO[KMailMon.exe]] <ntsd -d>
[IFEO[KMFilter.exe]] <ntsd -d>
[IFEO[KPFW32.exe]] <ntsd -d>
[IFEO[KPFW32X.exe]] <ntsd -d>
[IFEO[KPfwSvc.exe]] <ntsd -d>
[IFEO[KPPMain.exe]] <ntsd -D>
[IFEO[KRegEx.exe]] <ntsd -d>
[IFEO[KRepair.com]] <ntsd -d>
[IFEO[KsLoader.exe]] <ntsd -d>
[IFEO[KVCenter.kxp]] <ntsd -d>
[IFEO[KvDetect.exe]] <ntsd -d>
[IFEO[KvfwMcl.exe]] <ntsd -d>
[IFEO[KVMonXP.kxp]] <ntsd -d>
[IFEO[KVMonXP_1.kxp]] <ntsd -d>
[IFEO[kvol.exe]] <ntsd -d>
[IFEO[kvolself.exe]] <ntsd -d>
[IFEO[KvReport.kxp]] <ntsd -d>
[IFEO[KVScan.kxp]] <ntsd -d>
[IFEO[KVSrvXP.exe]] <ntsd -d>
[IFEO[KVStub.kxp]] <ntsd -d>
[IFEO[kvupload.exe]] <ntsd -d>
[IFEO[kvwsc.exe]] <ntsd -d>
[IFEO[KvXP.kxp]] <ntsd -d>
[IFEO[KvXP_1.kxp]] <ntsd -d>
[IFEO[KWatch.exe]] <ntsd -d>
[IFEO[KWatch9x.exe]] <ntsd -d>
[IFEO[KWatchX.exe]] <ntsd -d>
[IFEO[MagicSet.exe]] <ntsd -d>
[IFEO[mcconsol.exe]] <ntsd -d>
[IFEO[mmqczj.exe]] <ntsd -d>
[IFEO[mmsk.exe]] <ntsd -d>
[IFEO[Navapsvc.exe]] <ntsd -d>
[IFEO[Navapw32.exe]] <ntsd -d>
[IFEO[nod32.exe]] <ntsd -d>
[IFEO[nod32krn.exe]] <ntsd -d>
[IFEO[nod32kui.exe]] <ntsd -d>
[IFEO[NPFMntor.exe]] <ntsd -d>
[IFEO[PFW.exe]] <ntsd -d>
[IFEO[PFWLiveUpdate.exe]] <ntsd -d>
[IFEO[procexp.exe]] <ntsd -d>
[IFEO[QHSET.exe]] <ntsd -d>
[IFEO[QQDoctor.exe]] <ntsd -d>
[IFEO[QQDoctorMain.exe]] <ntsd -d>
[IFEO[QQKav.exe]] <ntsd -d>
[IFEO[Ras.exe]] <ntsd -d>
[IFEO[RavMonD.exe]] <ntsd -d>
[IFEO[RavStub.exe]] <ntsd -d>
[IFEO[RawCopy.exe]] <ntsd -d>
[IFEO[RegClean.exe]] <ntsd -d>
[IFEO[regmon.exe]] <ntsd -d>
[IFEO[RegTool.exe]] <ntsd -d>
[IFEO[rfwcfg.exe]] <ntsd -d>
[IFEO[rfwmain.exe]] <ntsd -d>
[IFEO[rfwProxy.exe]] <ntsd -d>
[IFEO[rfwsrv.exe]] <ntsd -d>
[IFEO[rfwstub.exe]] <ntsd -d>
[IFEO[RsAgent.exe]] <ntsd -d>
[IFEO[Rsaupd.exe]] <ntsd -d>
[IFEO[runiep.exe]] <ntsd -d>
[IFEO[safeboxTray.exe]] <ntsd -d>
[IFEO[safelive.exe]] <ntsd -d>
[IFEO[scan32.exe]] <ntsd -d>
[IFEO[SelfUpdate.exe]] <ntsd -d>
[IFEO[shcfg32.exe]] <ntsd -d>
[IFEO[SmartUp.exe]] <ntsd -d>
[IFEO[SREng.EXE]] <ntsd -d>
[IFEO[SuperKiller.exe]] <ntsd -d>
[IFEO[symlcsvc.exe]] <ntsd -d>
[IFEO[SysSafe.exe]] <ntsd -d>
[IFEO[taskmgr.exe]] <ntsd -d>
[IFEO[TrojanDetector.exe]] <ntsd -d>
[IFEO[Trojanwall.exe]] <ntsd -d>
[IFEO[TrojDie.kxp]] <ntsd -d>
[IFEO[UIHost.exe]] <ntsd -d>
[IFEO[UmxAgent.exe]] <ntsd -d>
[IFEO[UmxAttachment.exe]] <ntsd -d>
[IFEO[UmxCfg.exe]] <ntsd -d>
[IFEO[UmxFwHlp.exe]] <ntsd -d>
[IFEO[UmxPol.exe]] <ntsd -d>
[IFEO[UpLive.exe]] <ntsd -d>
[IFEO[vsstat.exe]] <ntsd -d>
[IFEO[webscanx.exe]] <ntsd -d>
[IFEO[WoptiClean.exe]] <ntsd -d>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[Atixeve23750 / Atixeve23750] <\??\C:\WINDOWS\TEMP\~wxp2ins.468.tmp>
[cafesvr / cafesvr] <\??\C:\WINDOWS\system32\cafesvr>
[zzxurs / zzxurs] <\??\C:\WINDOWS\system32\zzxurs>
[zftp / zftp] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp9.tmp>
[WINIO / WINIO] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.563\QQ三国宝宝外挂\hknms.sys>
[ptfs / ptfs] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp17.tmp>
[pmkkge / pmkkge] <\??\C:\WINDOWS\system32\pmkkge>
[ping / ping] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp19.tmp>
[Netgroup Packet Filter / NPF] <system32\drivers\npf.sys>
[msp2p32 / msp2p32] <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys>
[msfpfis64 / msfpfis64] <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[mnsf / mnsf] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp13.tmp>
[k9xv / k9xv] <\SystemRoot\system32\drivers\k9xv.sys>
[jtio / jtio] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp15.tmp>
[ilgta / ilgta9] <\SystemRoot\System32\DRIVERS\ilgta9.sys>
[HOSTNT / HOSTNT] <\??\C:\WINDOWS\system32\drivers\hostnt.sys>
[cqit / cqit] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp>
[fmsq / fmsq] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpF.tmp>
系统修复-- 浏览器加载项之如下项删除:
[用比特精灵下载(&B)] <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.532\bsup\BitSpirit\bsurl.htm>
[&Google] <c:\program files\google\googletoolbar1.dll>
[Ad Engine] <C:\Program Files\Yayad\AdCore.dll>
[VnetCookie Class] <c:\PROGRA~1\chinanet\VNETTR~1.DLL>
[Ad Engine] <C:\Program Files\Yayad\AdCore.dll>
自动清理方案操作步骤:1。下载通用病毒杀灭机正式版(
点击下载),请先参考软件帮助说明。
2。下载附件中的修复指令文件*.dat 。
3。打开通用病毒杀灭机(打不开的建议改名,如abc.exe,abc.bat等),复制修复指令者使用剪贴板导入;下载修复指令文件的使用文件导入
重启即可删除病毒,并帮助你删除自启动项和禁用服务。
(注:第一次重启有时候会弹出文件夹,那是由于自启动项目还没有删除,而文件已经被XDELBOX删除并用文件夹替代的结果)
防护建议:
1. 建议通过Windows Update或的漏洞扫描工具安装好系统补丁程序
2. 给系统管理员帐户设置足够复杂的管理员密码,最好是10位以上,字母+数字+其它符号
3. 安装使用网络防火墙软件,可以有效地阻挡病毒的入侵。
4. 关闭没有必要的共享目录
5. 禁用自动播放,用U盘时候,不要双击打开,用右键打
下载windows清理助手清理恶意软件
http://www.arswp.com/download.html下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe下载熊猫威金通用EXE文件修复器
http://www.dodudou.com/down/index.php?dirpath=./02.常用工具&order=0
下载IFEO修复程序
http://www.dodudou.com/down/IFEO.rar下载安全模式修复工具
http://www.dodudou.com/down/index.php?dirpath=./02.常用工具&order=0
