瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

12   1  /  2  页   跳转

[求助] 帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

收藏
光脚和尚
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2008-07-22
  • 来自:
发表于: 2008-07-22 20:27 | 只看楼主 短消息 资料
字号: 1楼

帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

中了GameOL病毒~日志已上传~前面已经查了下毒~但还是不放心~请老鸟看下~

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

附件附件:

文件名:SREngLOG.log
下载次数:79
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-22 20:27:26
描述:log
分享到:
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-22 20:46 | 短消息 资料
字号: 2楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:

[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgdewg.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>
[{461D2AB4-29A5-45C2-9134-D52272D3DE38}]    <C:\WINDOWS\system32\rfdswc.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}]    <C:\WINDOWS\system32\fsrgeb.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]    <C:\WINDOWS\system32\fmcvxy.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}]    <C:\WINDOWS\system32\kgfghd.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,svchost.xy3>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略
最后编辑开心101 最后编辑于 2008-07-22 20:47:41
好久没来了
嘻嘻
gototop
 
fillix
头像
飘泊而立狮
  • 帖子:771
  • 注册: 2008-07-05
  • 来自:
发表于: 2008-07-22 20:47 | 短消息 资料
字号: 3楼

回复: 帮忙看看啊~急~东西已经被盗了~不想被盗第二次~



引用:
原帖由 开心101 于 2008-7-22 20:46:00 发表


使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <>
[{EB71E0B3-E97D-4D30-8733-E28266467617}]    <>
[Knight V]    &......


那个Knight V好像是金山游侠的吧
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-22 20:49 | 短消息 资料
字号: 4楼

回复 3F fillix 的帖子

那个?
文件丢了
就剩个空项了
删不删都行
好久没来了
嘻嘻
gototop
 
光脚和尚
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2008-07-22
  • 来自:
发表于: 2008-07-22 21:07 | 只看楼主 短消息 资料
字号: 5楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

他说无法编辑Userinit写改值的新内容时出错~则么办啊~
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-22 21:19 | 短消息 资料
字号: 6楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

svchost.xy3
这个可以搜索到不?
要是能搜索到把它删了
好久没来了
嘻嘻
gototop
 
光脚和尚
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2008-07-22
  • 来自:
发表于: 2008-07-22 21:21 | 只看楼主 短消息 资料
字号: 7楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

搜索不到~
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-22 21:28 | 短消息 资料
字号: 8楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

删除 具体方法见http://bbs.ikaka.com/showtopic-8442813.aspx
e:\program files\tencent\qq\npkycryp.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务-- 驱动程序之如下项删除:
[npkycryp / npkycryp]    <\??\E:\Program Files\Tencent\QQ\npkycryp.sys>
然后再看看那个项可不可以改
QQ需要重装

PS:再用金山清理专家清理一下
最后编辑开心101 最后编辑于 2008-07-22 21:34:23
好久没来了
嘻嘻
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-22 21:47 | 短消息 资料
字号: 9楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

在文件夹选项 把隐藏系统文件取消选择 并选择 显示所有文件
搜索svchost.xy3 找到后按上面给的链接里的方法删除

运行regedit找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

在右侧找到Userinit 确保其值为C:\WINDOWS\system32\userinit.exe,特别注意值的类型是二进制值,病毒可能会把它改为DWORD值
看看这次还改不改得了
最后编辑开心101 最后编辑于 2008-07-22 21:50:51
好久没来了
嘻嘻
gototop
 
光脚和尚
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2008-07-22
  • 来自:
发表于: 2008-07-22 22:01 | 只看楼主 短消息 资料
字号: 10楼

回复:帮忙看看啊~急~东西已经被盗了~不想被盗第二次~

还是改不了啊~则么办啊~
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT