瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】系统缓慢,有图(刚刚按版主的方法杀了,还在。请版主再进来看看)

12   1  /  2  页   跳转

【求助】系统缓慢,有图(刚刚按版主的方法杀了,还在。请版主再进来看看)

收藏
蜗牛狂奔中ING
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-08-26
  • 来自:
发表于: 2007-08-26 17:12 | 只看楼主 短消息 资料
字号: 1楼

【求助】系统缓慢,有图(刚刚按版主的方法杀了,还在。请版主再进来看看)

重启了一下,毒好像还在,,刚刚扫描的时候我开着360安全卫士,现在关了它再扫了一遍,版主快来

附件附件:

下载次数:121
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-26 17:12:25
描述:

最后编辑2007-08-26 18:56:18
分享到:
gototop
 
蜗牛狂奔中ING
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-08-26
  • 来自:
发表于: 2007-08-26 17:14 | 只看楼主 短消息 资料
字号: 2楼

我是楼主,,,这还有一张,360的

附件附件:

下载次数:289
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-26 17:14:04
描述:
gototop
 
蜗牛狂奔中ING
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-08-26
  • 来自:
发表于: 2007-08-26 17:45 | 只看楼主 短消息 资料
字号: 3楼

Logfile of HijackThis v1.99.1
Scan saved at 17:30:50, on 2007-8-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\360safe\safemon\360tray.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FRANK~1.MY-\LOCALS~1\Temp\Rar$EX00.437\HijackThis.exe
C:\DOCUME~1\FRANK~1.MY-\LOCALS~1\Temp\Rar$EX03.000\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_007.dll
O2 - BHO: NavigatMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [360Safetray] C:\Program Files\360safe\safemon\360tray.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe (file missing)
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe (file missing)
O9 - Extra button: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: tlupri.dll
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

这是日志
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-26 18:05 | 短消息 资料
字号: 4楼

扫描sreng日志
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
gototop
 
蜗牛狂奔中ING
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-08-26
  • 来自:
发表于: 2007-08-26 18:18 | 只看楼主 短消息 资料
字号: 5楼

日志

附件附件:

下载次数:108
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-26 18:18:15
描述:
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2007-08-26 18:21 | 短消息 资料
字号: 6楼

SREng-启动项目->注册表->删除以下启动项目
    <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>  []
    <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>  []
    <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>  []
    <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\tlupri.dll>  []
    <{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll>  []
    <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll>  []
    <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>  []
    <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>  []

编辑    <AppInit_DLLs><wddpri.dll>  []
为    <AppInit_DLLs><>  []

下载冰刃删除以下文件
http://www.ttian.net/website/2005/0829/391.html
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\WINDOWS\system32\dhdpri.dll
C:\WINDOWS\system32\wddpri.dll
C:\WINDOWS\system32\qjgpri.dll
C:\WINDOWS\system32\jzipri.dll
C:\WINDOWS\system32\qhepri.dll
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\WINDOWS\system32\DbgHlp32.dll
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-26 18:22 | 短消息 资料
字号: 7楼

首先重命名以下文件(随便命名,并且记住你命名的名字)
c:\windows\system32\dhdpri.dll
c:\windows\system32\jzipri.dll
c:\windows\system32\qhepri.dll
c:\windows\system32\qjgpri.dll
c:\windows\system32\wddpri.dll
c:\windows\system32\tlupri.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng (就是你扫日志的软件)
启动项目  注册表 删除如下项目
[{56368135-64FA-BC34-DA32-DCF4FD431C95}]    <C:\WINDOWS\system32\qhepri.dll>
[{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>
[{959AFD5B-159F-ACD8-954C-ACD545FA6589}]    <C:\WINDOWS\system32\jzipri.dll>
[{74123FF1-8371-9834-9021-184518451FA7}]    <C:\WINDOWS\system32\qjgpri.dll>
[{A12BC423-3713-224D-3F55-32B35C62B11A}]    <C:\WINDOWS\system32\tlupri.dll>
[{4F12545B-1212-1314-5679-4512ACEF8904}]    <C:\WINDOWS\system32\wddpri.dll>
[{42311A42-AC1B-158F-FD32-5674345F23A4}]    <C:\WINDOWS\system32\dhdpri.dll>
[{0EA66AD2-CF26-2E23-532B-B292E22F3266}]    <C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>

双击AppInit_DLLs把器键值改为空

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入C盘
删除如下文件
c:\windows\system32\tlupri.dll
c:\program files\internet explorer\plugins\newtemp.dll
c:\program files\internet explorer\plugins\winsys64.sys
c:\windows\system32\dbghlp32.dll
c:\windows\system32\dhdpri.dll
c:\windows\system32\jzipri.dll
c:\windows\system32\qhepri.dll
c:\windows\system32\qjgpri.dll
c:\windows\system32\wddpri.dll
修改你的游戏以及QQ帐号密码
gototop
 
蜗牛狂奔中ING
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-08-26
  • 来自:
发表于: 2007-08-26 18:30 | 只看楼主 短消息 资料
字号: 8楼

我连QQ都米有装………………
PS:我够火星吧!
gototop
 
蜗牛狂奔中ING
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-08-26
  • 来自:
发表于: 2007-08-26 19:03 | 只看楼主 短消息 资料
字号: 9楼

来看看撒

附件附件:

下载次数:117
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-26 19:03:43
描述:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-26 19:04 | 短消息 资料
字号: 10楼

没事了
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT