瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】瑞星监控自动关闭 卡卡和防火墙无法打开

1   1  /  1  页   跳转

【求助】瑞星监控自动关闭 卡卡和防火墙无法打开

收藏
镰刀手
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-03-20
  • 来自:
发表于: 2008-03-20 22:18 | 只看楼主 短消息 资料
字号: 1楼

【求助】瑞星监控自动关闭 卡卡和防火墙无法打开

瑞星监控经系统后自动关闭 卡卡和防火墙无法打开  全部无法升级
优化大师查出开机自动运行很多网络游戏盗号木马反复出现
C:\Program Files\Internet Explorer\PLUGINS里有个Ns_Sys55可疑文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks里3个可疑项{50632D5C-B71B-4ba0-B012-3DC6F15C011B}
                  {5E907A48-400E-4EA8-9792-FFAE052D59E9}
                  {D29DCEE0-457B-45A2-A92D-741B95B7723B}



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

附件附件:

下载次数:138
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-20 22:18:38
描述:

最后编辑2008-03-20 22:45:04
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-20 22:26 | 短消息 资料
字号: 2楼

引用:
【镰刀手的贴子】瑞星监控经系统后自动关闭 卡卡和防火墙无法打开  全部无法升级
优化大师查出开机自动运行很多网络游戏盗号木马反复出现
C:\Program Files\Internet Explorer\PLUGINS里有个Ns_Sys55可疑文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks里3个可疑项{50632D5C-B71B-4ba0-B012-3DC6F15C011B}
                  {5E907A48-400E-4EA8-9792-FFAE052D59E9}
                  {D29DCEE0-457B-45A2-A92D-741B95B7723B}



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

………………

1、用XDELBOX删除(重启删除)下列加载项指向的文件:

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <rhlvrhyt><C:\WINDOWS\hvhtldvf.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <WSockDrv32><C:\WINDOWS\WSockDrv32.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{50632D5C-B71B-4ba0-B012-3DC6F15C011B}><C:\WINDOWS\system32\msosiocp.dll>  []
    <{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>  []
服务
[4D900DF0 / 4D900DF0][Stopped/Auto Start]
  <C:\WINDOWS\system32\9FCB27C0.EXE -d><Microsoft Corporation>
[HTTP SSL / HTTPFilter][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k HTTPFilter-->%SystemRoot%\System32\w3ssl.dll><N/A>
[KailleraServer / KailleraServer][Stopped/Manual Start]
  <C:\WINDOWS\system32\kaillera\srvany.exe><N/A>
[kailleraServerJK / kailleraServerJK][Stopped/Manual Start]
  <C:\WINDOWS\system32\kaillera\srvany.exe><N/A>
[PnkBstrA / PnkBstrA][Stopped/Manual Start]
  <C:\WINDOWS\system32\PnkBstrA.exe><N/A>
驱动程序
[drop / drop][Stopped/Auto Start]
  <\??\C:\DOCUME~1\镰刀手\LOCALS~1\Temp\tmp926.tmp><N/A>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\镰刀手\LOCALS~1\Temp\tmp9.tmp><N/A>
[msert / msert][Running/Auto Start]
  <system32\drivers\mselk.sys><N/A>
浏览器加载项
[]
  {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
2、重启后,用SRENG(就是你扫这份日志的工具)删除上述加载项。
gototop
 
连山大道
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2007-08-28
  • 来自:
发表于: 2008-03-20 22:27 | 短消息 资料
字号: 3楼

楼主可以将可疑文件上报瑞星分析解决!可用瑞星在线查毒查杀一下!
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2008-03-20 22:31 | 短消息 资料
字号: 4楼

仅供参考:

1.建议使用XDelBox删除以下文件
c:\program files\internet explorer\plugins\ns_sys55.sys
c:\windows\system32\msosiocp.dll
c:\windows\wsockdrv32.exe
c:\windows\ptsshell.exe
c:\windows\dbghlp32.exe
c:\windows\cmdbcs.exe
c:\windows\msccrt.exe
c:\windows\kvsc3.exe
c:\windows\hvhtldvf.exe
c:\windows\upxdnd.exe
c:\windows\system32\9fcb27c0.exe -d
c:\docume~1\镰刀手\locals~1\temp\tmp9.tmp
c:\docume~1\镰刀手\locals~1\temp\tmp926.tmp
c:\windows\system32\drivers\mselk.sys
c:\windows\system32\drivers\msosfpids32.sys

2.删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:
[{D29DCEE0-457B-45A2-A92D-741B95B7723B}]    <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>
[{50632D5C-B71B-4ba0-B012-3DC6F15C011B}]    <C:\WINDOWS\system32\msosiocp.dll>
[WSockDrv32]    <C:\WINDOWS\WSockDrv32.exe>
[PTSShell]    <C:\WINDOWS\PTSShell.exe>
[DbgHlp32]    <C:\WINDOWS\DbgHlp32.exe>
[cmdbcs]    <C:\WINDOWS\cmdbcs.exe>
[msccrt]    <C:\WINDOWS\msccrt.exe>
[Kvsc3]    <C:\WINDOWS\Kvsc3.exE>
[rhlvrhyt]    <C:\WINDOWS\hvhtldvf.exe>
[upxdnd]    <C:\WINDOWS\upxdnd.exe>

启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[4D900DF0 / 4D900DF0]    <C:\WINDOWS\system32\9FCB27C0.EXE -d>

启动项目 -- 服务-- 驱动程序之如下项删除:
[mhfp / mhfp]    <\??\C:\DOCUME~1\镰刀手\LOCALS~1\Temp\tmp9.tmp>
[drop / drop]    <\??\C:\DOCUME~1\镰刀手\LOCALS~1\Temp\tmp926.tmp>
[msert / msert]    <system32\drivers\mselk.sys>
[fpids32 / fpids32]    <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys>

系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2008-03-20 22:57 | 短消息 资料
字号: 5楼

补充楼上,删除以下文件

C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\ijougiemnaw.dll
C:\WINDOWS\system32\eohsom.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\tlihmxdd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\fyom.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\oqnauhc.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\taijoad.dll
C:\WINDOWS\system32\pahzij.dll
C:\WINDOWS\system32\mnauygniqaixnaij.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ej.dll
C:\WINDOWS\system32\jemnaw.dll
C:\WINDOWS\system32\slcs.dll
C:\WINDOWS\system32\tzm.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\A4D4E390.DLL
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT