【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:	发表于： 2007-09-18 11:17 \| 只看楼主短消息资料字号：小中大 1楼【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）我的电脑中毒了，求解决方法！！日志及病毒信息在附件 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Poco 0.31; Maxthon; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59 from: http://bsalsa.com/ ) 附件: 文件名:9450132007918110637.txt 下载次数:126 文件类型:application/octet-stream 文件大小: 上传时间:2007-9-18 11:17:23 描述: 2007-09-18 14:58:20
冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:	分享到：

matongtoto 自信弱冠狮帖子:376 注册: 2007-08-22 来自:	发表于： 2007-09-18 13:01 \| 短消息资料字号：小中大 2楼 1.建议使用XDelBox删除以下文件：(XDelBox1.3下载) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 c:\windows\system32\kaqhcaz.exe c:\windows\system32\kafydaz.exe c:\windows\system32\rarjatl.exe c:\windows\system32\rsjzbsp.exe c:\windows\system32\rsztbsp.exe c:\windows\system32\acs.exe c:\windows\system32\rsztbpm.dll c:\program files\common files\microsoft shared\msinfo\system6.ins c:\program files\internet explorer\plugins\winsys64.sys c:\program files\netmeeting\ravcqmon.dat c:\program files\netmeeting\ravgjmon.dat c:\program files\netmeeting\ravmsmon.dat c:\program files\netmeeting\ravwdmon.dat c:\windows\system32\kafydzy.dll c:\windows\system32\kaqhczy.dll c:\windows\system32\rarjapi.dll c:\windows\system32\rsjzbpm.dll c:\windows\system32\kvdxbma.dll c:\windows\system32\avwlamn.dll c:\windows\system32\avzxamn.dll c:\windows\system32\rsmyapm.dll c:\windows\system32\kvmxcma.dll rarjapi.dll c:\program files\netmeeting\ravmsmon.exe c:\program files\common files\microsoft shared\msinfo\winmask.exe c:\program files\common files\microsoft shared\msinfo\msnmask.exe c:\windows\\systemroot\system32\drivers\qiohr.sys c:\windows\system32\drivers\kmsinput.sys [E:\] [AutoRun] open=AutoRun.exe shellexecute=AutoRun.exe shell\打开(&O)\command=AutoRun.exe 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}] <C:\WINDOWS\system32\kvdxbma.dll> [{37D81718-1314-5200-2597-587901018073}] <C:\WINDOWS\system32\kaqhczy.dll> [{1960356A-458E-DE24-BD50-268F589A56A1}] <C:\WINDOWS\system32\avwlamn.dll> [{4B681598-AD5F-BC8C-77DC-748FAC8D3FB4}] <C:\WINDOWS\system32\kafydzy.dll> [{1598FF45-DA60-F48A-BC43-10AC47853D51}] <C:\WINDOWS\system32\rarjapi.dll> [{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}] <C:\WINDOWS\system32\rsjzbpm.dll> [{1859245F-345D-BC13-AC4F-145D47DA34F1}] <C:\WINDOWS\system32\avzxamn.dll> [{1E32FA58-3453-FA2D-BC49-F340348ACCE1}] <C:\WINDOWS\system32\rsmyapm.dll> [{234345F1-DACF-3452-CB7D-4620F34A1532}] <C:\WINDOWS\system32\rsztbpm.dll> [{3D47B341-43DF-4563-753F-345FFA3157D3}] <C:\WINDOWS\system32\kvmxcma.dll> [{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}] <C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> [{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins> 注意该项[AppInit_DLLs]修改：把<rarjapi.dll>修改为<>即清空 [ravmsmon] <C:\Program Files\NetMeeting\ravmsmon.exe> [winmask] <C:\Program Files\Common Files\Microsoft Shared\MSInfo\winmask.exe> [msnmask] <C:\Program Files\Common Files\Microsoft Shared\MSInfo\msnmask.exe> 启动项目－－服务－－ Win32服务应用程序之如下项删除： [systems / systems] <> [systems / systems] <> 启动项目－－服务－－驱动程序之如下项删除： [qiohr / qiohr] <\SystemRoot\\SystemRoot\System32\drivers\qiohr.sys> [kmsinput / kmsinput] <\??\C:\WINDOWS\system32\drivers\kmsinput.sys>
matongtoto 自信弱冠狮帖子:376 注册: 2007-08-22 来自:

冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:	发表于： 2007-09-18 14:37 \| 只看楼主短消息资料字号：小中大 3楼你好，今天非常感谢你出手相助，我昨天为了那病毒一个晚上没睡，都毫无办法，我刚才按您的步骤去做，发现有些疑问，望再指点一二，因为我玩电脑不久，如果问出一些简单的问题希望您不要见笑？下面的字符具体是代表什么含义？具体如何操作？ [E:\] [AutoRun] open=AutoRun.exe shellexecute=AutoRun.exe shell\打开(&O)\command=AutoRun.exe 还有就是，您所列的下表中： c:\windows\system32\kaqhcaz.exe c:\windows\system32\kafydaz.exe c:\windows\system32\rarjatl.exe c:\windows\system32\rsjzbsp.exe c:\windows\system32\rsztbsp.exe c:\windows\system32\acs.exe c:\windows\system32\rsztbpm.dll c:\program files\common files\microsoft shared\msinfo\system6.ins c:\program files\internet explorer\plugins\winsys64.sys c:\program files\netmeeting\ravcqmon.dat c:\program files\netmeeting\ravgjmon.dat c:\program files\netmeeting\ravmsmon.dat c:\program files\netmeeting\ravwdmon.dat c:\windows\system32\kafydzy.dll c:\windows\system32\kaqhczy.dll c:\windows\system32\rarjapi.dll c:\windows\system32\rsjzbpm.dll c:\windows\system32\kvdxbma.dll c:\windows\system32\avwlamn.dll c:\windows\system32\avzxamn.dll c:\windows\system32\rsmyapm.dll c:\windows\system32\kvmxcma.dll rarjapi.dll c:\program files\netmeeting\ravmsmon.exe c:\program files\common files\microsoft shared\msinfo\winmask.exe c:\program files\common files\microsoft shared\msinfo\msnmask.exe c:\windows\\systemroot\system32\drivers\qiohr.sys c:\windows\system32\drivers\kmsinput.sys 有极少数路径是导入时显示是不存在的，是不是因为后来被杀毒软件查杀了，我后来查杀过。望不吝指教！再谢。
冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:

卡卡技术团队

帖子:25779
注册: 2007-01-14
来自:

发表于： 2007-09-18 15:05 | 短消息资料

字号：小中大 4楼

引用:

【冰寒客的贴子】你好，今天非常感谢你出手相助，我昨天为了那病毒一个晚上没睡，都毫无办法，我刚才按您的步骤去做，发现有些疑问，望再指点一二，因为我玩电脑不久，如果问出一些简单的问题希望您不要见笑？下面的字符具体是代表什么含义？具体如何操作？
[E:\]
[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\打开(&O)\command=AutoRun.exe
还有就是，您所列的下表中：
c:\windows\system32\kaqhcaz.exe
c:\windows\system32\kafydaz.exe
c:\windows\system32\rarjatl.exe
c:\windows\system32\rsjzbsp.exe
c:\windows\system32\rsztbsp.exe
c:\windows\system32\acs.exe
c:\windows\system32\rsztbpm.dll
c:\program files\common files\microsoft shared\msinfo\system6.ins
c:\program files\internet explorer\plugins\winsys64.sys
c:\program files\netmeeting\ravcqmon.dat
c:\program files\netmeeting\ravgjmon.dat
c:\program files\netmeeting\ravmsmon.dat
c:\program files\netmeeting\ravwdmon.dat
c:\windows\system32\kafydzy.dll
c:\windows\system32\kaqhczy.dll
c:\windows\system32\rarjapi.dll
c:\windows\system32\rsjzbpm.dll
c:\windows\system32\kvdxbma.dll
c:\windows\system32\avwlamn.dll
c:\windows\system32\avzxamn.dll
c:\windows\system32\rsmyapm.dll
c:\windows\system32\kvmxcma.dll
rarjapi.dll
c:\program files\netmeeting\ravmsmon.exe
c:\program files\common files\microsoft shared\msinfo\winmask.exe
c:\program files\common files\microsoft shared\msinfo\msnmask.exe
c:\windows\\systemroot\system32\drivers\qiohr.sys
c:\windows\system32\drivers\kmsinput.sys
有极少数路径是导入时显示是不存在的，是不是因为后来被杀毒软件查杀了，我后来查杀过。
望不吝指教！再谢。
………………

第一个问题，是让你删除下面这两个文件：
E:\AutoRun.INF
E:\AutoRun.exe

第二个问题：要么是被杀软击毙了，要么是病毒创建服务、驱动项后就自我毁灭对应的映像文件（很多木马的惯用伎俩），反正是找不到就别管了。

冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:	发表于： 2007-09-18 15:09 \| 只看楼主短消息资料字号：小中大 5楼谢谢大家！！
冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:	发表于： 2007-09-18 11:17 \| 只看楼主短消息资料字号：小中大 1楼【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）我的电脑中毒了，求解决方法！！日志及病毒信息在附件 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Poco 0.31; Maxthon; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59 from: http://bsalsa.com/ ) 附件: 文件名:9450132007918110637.txt 下载次数:126 文件类型:application/octet-stream 文件大小: 上传时间:2007-9-18 11:17:23 描述: 2007-09-18 14:58:20
冰寒客初生襁褓狮帖子:28 注册: 2007-09-18 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

附件:

文件名:9450132007918110637.txt 下载次数:126 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(57798); 上传时间:2007-9-18 11:17:23 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】我的手提电脑中毒了！求解决方法！（附日志及病毒信息）

文件名:9450132007918110637.txt

下载次数:126

文件类型:application/octet-stream

文件大小:

上传时间:2007-9-18 11:17:23

描述: