我在卡卡上网安全助手区求助关于"一起来音乐助手”这个流氓软件的问题，被要求来反病毒/反流氓区求助。
我已按照论坛中的提示,删除瑞星卡卡上网安全助手6.0的update目录，解决了它不能升级的问题。但是还有其他问题(我主要用firefox上网):
开机后，瑞星监控中心和防火墙能启动。过了一会儿，会自动关闭。
在“开始”中手动启动瑞星监控中心，可以成功。
在“开始”中手动启动瑞星个人防火墙主程序，失败。防火墙区有类似情况的描述。打开瑞星卡卡上网安全助手6.0，选择"防火墙"(上侧),"防火墙"(左侧),按"启动个人防火墙",瑞星个人防火墙启动成功。
用瑞星卡卡上网安全助手6.0扫描流氓软件发现以下内容，可以删除。

在开始菜单-所有程序“中发现被安装了"一起来音乐助手”这个流氓软件。瑞星卡卡上网安全助手6.0扫描不到它，用瑞星也没找到病毒。用“一起来音乐助手”的卸载程序卸载它自己后，重起后又会出现以上症状。好像它有专门针对你们这些产品的功能。请快解决。

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

提交日志文件SREngLOG.log
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

Windows清理助手 没有成功

附件: SREngLOG.log (2008-10-25 12:18:57, 117.08 K)
该附件被下载次数 166

同上txt文件

附件: 新建 文本文档.txt (2008-10-25 12:22:50, 117.08 K)
该附件被下载次数 235

金山清理专家

附件: 清理专家诊断报告.txt (2008-10-25 12:50:46, 8.06 K)
该附件被下载次数 254

开机时瑞星监控会发现以下病毒：

附件: 瑞星记录.txt (2008-10-25 13:09:43, 2.77 K)
该附件被下载次数 234

首先下载一个独立的unlocker工具，

然后，在安全模式使用unlocker，找到系统盘（我是C盘）里的C:\\\\Documents and Settings文件夹打开，

1.删除C:\\\\Documents and Settings\\\\Administrator\\\\Favorites文件夹

2.删除C:\\\\Documents and Settings\\\\All Users\\\\Favorites文件夹

3.删除C:\\\\Documents and Settings\\\\*****\\\\Favorites\\\\“一起来音乐”，文件，这里*****代表计算机的用户名称

4.在C:\\\\Program Files找到“Yiqilai”文件夹删除之。

5.在C:\\\\WINDOWS里查找“yiqilai”文件夹和文件，删除。

6.在C:\\\\WINDOWS\\\\system32查找“yiqilai”文件夹和文件，删除。注明：虽然WINDOWS和system32文件很多，但是找起来也很方便，只查找“Y”字头的文件和文件夹即可，“Y”字头开始的文件并不多，一般处于文件夹和文件的最后面

7.运行“优化大师”或“兔子”，在“IE设置里”删除IE工具栏按钮里的“一起来音乐”。并清理冗余DLL和“清理注册表”。

8.重启电脑进入常规模式
9.打开IE，进入“收藏夹”看见有“一起来音乐”--删除。

10.重启电脑，清净了！

注：以上步骤尽量在安全模式进行，在安全模式不能做到的，在常规模式能做到也行。

用这种方法我是清净了，因个人电脑设置和安装的软件不一样，所以不排除有异常情况

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时将下面文件列表内容完整复制，然后打开XDelBox，在“待删除文件列表”下方空白框处右键，选择“剪贴板导入不检查路径”，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\progra~1\yok.com\supers~1\yok_supersearch.dll
c:\program files\common files\pushware\cpush.dll
c:\windows\system32\famdiy.exe
c:\windows\icpb.dll
c:\windows\window med1a\silvergod.exe
c:\windows\system32\drivers\aevgb.sys
c:\windows\system32\drivers\bcrlah15.sys
c:\windows\system32\drivers\filter.sys
c:\windows\system32\drivers\nqneul97.sys
c:\windows\system32\drivers\xskes.sys
c:\windows\system32\drivers\zduemz25.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys


2.删除重启后使用SREng修复下面各项：
    启动项目 －－ 注册表之如下项删除：
[YLive.exe]    <; >
[YOKAssiant]    <; Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant>
[CPushSetup]    <"C:\WINDOWS\system32\regsvr32.exe" /s "C:\Program Files\Common Files\PushWare\cpush.dll">
[N/A]    <C:\WINDOWS\system32\FamDiy.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[IPRIP / IPRIP]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\icpb.dll>
[IPRIP / IPRIP]    <C:\WINDOWS\Window Med1a\silvergod.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[aevg / aevgb]    <\SystemRoot\System32\DRIVERS\aevgb.sys>
[aevg / aevgb]    <\SystemRoot\System32\DRIVERS\bcrlah15.sys>
[filter / filter]    <\??\C:\WINDOWS\system32\drivers\filter.sys>
[nqneul9 / nqneul97]    <\SystemRoot\System32\DRIVERS\nqneul97.sys>
[xskes / xskes]    <\SystemRoot\system32\drivers\xskes.sys>
[zduemz2 / zduemz25]    <\SystemRoot\System32\DRIVERS\zduemz25.sys>
[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>

3.使用WINDOWS清理助手清理一下系统
运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理。

问题比较严重

金山清理专家-在线系统诊断
隐藏安全项后
修复：

        [yassistse]          <; "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe">

              [YOKAssiant]          <; Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant>
    [WbWin] [已启用]              <%SystemRoot%\avtapit.dll>
        文件路径: C:\WINDOWS\avtapit.dll [分析中]
    [bcrlah15] [已启用]            <System32\DRIVERS\bcrlah15.sys>
    [aevgb] [已启用]              <System32\DRIVERS\aevgb.sys>
    [SENS] [已启用]                <%SystemRoot%\system32\sens.dll>
    [filter] [已启用]              <\??\C:\WINDOWS\system32\drivers\filter.sys>
        文件路径: C:\WINDOWS\system32\drivers\filter.sys [病毒程序]
  [wmpobj] [已禁用]              <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
        文件路径: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys [病毒程序]

        [xskes] [已启用]              <system32\drivers\xskes.sys>
        文件路径: C:\WINDOWS\system32\drivers\xskes.sys [未知]

        [zduemz25] [已启用]            <System32\DRIVERS\zduemz25.sys>
  [网站排名工具条BHO]
        {489873CE-F3E1-44A3-8E89-04BE26BE4446}  <C:\Program Files\zzToolBar\Toolbar_bho.dll>
        文件路径: C:\Program Files\zzToolBar\Toolbar_bho.dll [可疑的]

        [JVMSurfer Class]
        {686488AF-13D5-9DDF-4FEF-9FB88698CFC1}  <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll>
        文件路径: C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll [病毒程序]


        [网站排名工具条]
        <toolbar>        <C:\Program Files\zzToolBar\ToolBand.dll>
        文件路径: C:\Program Files\zzToolBar\ToolBand.dll [可疑的]
  [网站排名工具条]
        <{0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35}>        <C:\Program Files\zzToolBar\ToolBand.dll>
        文件路径: C:\Program Files\zzToolBar\ToolBand.dll [可疑的]

        [网站排名工具条BHO]
        <{489873CE-F3E1-44A3-8E89-04BE26BE4446}>        <C:\Program Files\zzToolBar\Toolbar_bho.dll>
        文件路径: C:\Program Files\zzToolBar\Toolbar_bho.dll [可疑的]

        [JVMSurfer Class]
        <{686488AF-13D5-9DDF-4FEF-9FB88698CFC1}>        <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll>
        文件路径: C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll [病毒程序]


金山清理专家-安全百宝箱-文件粉碎器
粉碎文件：
C:\WINDOWS\avtapit.dll
C:\WINDOWS\system32\drivers\xskes.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
C:\WINDOWS\system32\drivers\filter.sys
C:\Program Files\zzToolBar\Toolbar_bho.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll
C:\Program Files\zzToolBar\ToolBand.dll
C:\Program Files\zzToolBar\Toolbar_bho.dll



自己去检测文件，地址
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
http://virusscan.jotti.org/

C:\WINDOWS\icpb.dll
C:\WINDOWS\Window Med1a\silvergod.exe

我用金山清理专家清楚恶意软件有效果。重启后，瑞星监控中心和防火墙能启动不会自动关闭了。
“一起来音乐助手”也没再出现。但就在我用firefox打开此网站时，还是弹出了1个IE的广告网页。后来用金山清理专家又发现有一个恶意软件，删除了。

左键点击"通知区域"的绿伞图标，选择"瑞星官方网站"，弹出的是错误链接http://%1%20http://www.rising.com.cn/

==================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Realplayer.exe><; C:\WINDOWS\system32\Realplayer.exe>  [File is missing]
    <yassistse><; "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe">  [File is missing]
    <YLive.exe><; >  [N/A]
    <YOKAssiant><; Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant>  [File is missing]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <CPushSetup><"C:\WINDOWS\system32\regsvr32.exe" /s "C:\Program Files\Common Files\PushWare\cpush.dll">  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A39E36AE-59C1-59D1-69D1-69D269D26AD2}]
    <N/A><C:\WINDOWS\system32\FamDiy.exe>  [File is missing]
==================================
服务
[IPRIP / IPRIP][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\icpb.dll><N/A>
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\Window Med1a\silvergod.exe><N/A>
==================================
驱动程序
[aevg / aevgb][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\aevgb.sys><N/A>
[bcrlah1 / bcrlah15][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\bcrlah15.sys><N/A>
[filter / filter][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\filter.sys><N/A>
[nqneul9 / nqneul97][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\nqneul97.sys><N/A>
[nsysaudm / nsysaudm][Stopped/Manual Start]
  <\??\C:\DOCUME~1\aa\LOCALS~1\Temp\nsysaudm.sys><N/A>
[xskes / xskes][Running/Boot Start]
  <\SystemRoot\system32\drivers\xskes.sys><N/A>
[zduemz2 / zduemz25][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\zduemz25.sys><N/A>
[wmpobj / wmpobj][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
==================================
浏览器加载项
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, (Signed) www.chinarank.org.cn>
[CMsgCenter Class]
  {6014EABC-B61A-4F07-A32B-440EAE835DF9} <C:\WINDOWS\system32\usmsho.dll, >
[JVMSurfer Class]
  {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll, >
[网站排名工具条]
  {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} <C:\Program Files\zzToolBar\ToolBand.dll, (Signed) www.chinarank.org.cn>
[Msp Class]
  {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} <C:\WINDOWS\Downloaded Program Files\dddmsp.dll, N/A>
[网站排名工具条]
  {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} <C:\Program Files\zzToolBar\ToolBand.dll, (Signed) www.chinarank.org.cn>
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, (Signed) www.chinarank.org.cn>
[CMsgCenter Class]
  {6014EABC-B61A-4F07-A32B-440EAE835DF9} <C:\WINDOWS\system32\usmsho.dll, >
[JVMSurfer Class]
  {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll, >
==================================
正在运行的进程
C:\WINDOWS\Window Med1a\silverdll.dat
c:\windows\icpb.dll
c:\windows\avtapit.dll
C:\DOCUME~1\aa\LOCALS~1\Temp\CMDLIN~2.DLL
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll
C:\WINDOWS\system32\usmsho.dll
==================================