瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】瑞星的伞变成红色的(有更新)

123   1  /  3  页   跳转

【求助】瑞星的伞变成红色的(有更新)

收藏
yama0807
头像
初生襁褓狮
  • 帖子:105
  • 注册: 2006-09-05
  • 来自:
发表于: 2008-01-23 20:28 | 只看楼主 短消息 资料
字号: 1楼

【求助】瑞星的伞变成红色的(有更新)

天月我用你方法做了,可是在导入xdel的时候,igb那几个文件导进去和源文件名不一样,所以那几个文件还是有的,见下

eg:原文件名c:\windows\system32\igb_djol_1021.dll
            c:\windows\system32\igb_wmsj_1008.dll

    导入后就变成c:\windows\system32\igb_dj~1.dll
                c:\windows\system32\igb_wm~1.dll

然后不就是重启吗,显示的是not found

这是新日志:http://images.rising.com.cn/uploadfiles/20081/24/7442132008124122917.txt

附件附件:

下载次数:176
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-23 20:28:35
描述:

最后编辑2008-01-24 13:44:18
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 20:36 | 短消息 资料
字号: 2楼

很麻烦,愿意的话,重装系统或GHOST恢复系统。

要不等会试手工操作清理。
gototop
 
yama0807
头像
初生襁褓狮
  • 帖子:105
  • 注册: 2006-09-05
  • 来自:
发表于: 2008-01-23 20:38 | 只看楼主 短消息 资料
字号: 3楼

我不会重装呀,手工怎么弄,交交我
gototop
 
冰箱里的大象
头像
健康舞勺狮
  • 帖子:211
  • 注册: 2004-08-27
  • 来自:黑龙江
发表于: 2008-01-23 20:42 | 短消息 资料
字号: 4楼

引用:
【天月来了的贴子】很麻烦,愿意的话,重装系统或GHOST恢复系统。

要不等会试手工操作清理。


………………

你这不是帮倒忙吗?

运用瑞星的添加删除组件将监控卸载,再运用瑞星的添加删除组件将监控添加即可。

或者到瑞星的程序文件夹D:\Program Files\Rising\Rav\Update,运行程序Setup,覆盖一遍即可。
gototop
 
yama0807
头像
初生襁褓狮
  • 帖子:105
  • 注册: 2006-09-05
  • 来自:
发表于: 2008-01-23 20:45 | 只看楼主 短消息 资料
字号: 5楼

楼上的大哥我的机子是中了病毒,你看不出来吗
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 20:56 | 短消息 资料
字号: 6楼

注意一定要断网杀毒,不然不能成功的。
——————————————————————————————————————
你只有用Xdelbox这个工具去删除这些文件了。
下载XDELBOX,地址和使用方法:
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的,使用时一定拔掉所有移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\nsiuxhqqw.exe
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system32\IGB_DJOL_1021.dll
C:\WINDOWS\system32\IGB_WMSJ_1008.dll
C:\WINDOWS\system32\IGB_WMGJ_1022.dll
C:\WINDOWS\system32\IGB_ZX_1016.dll
C:\WINDOWS\system32\IGB_JZ_1018.dll
C:\WINDOWS\Fonts\rsjzbpm.dll
C:\WINDOWS\system32\IGB_CQSJ_1008.dll
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\WINDOWS\system32\yld32.dll
C:\WINDOWS\phwvisxr.dll
C:\WINDOWS\vviecohb.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rsqq.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ydtlsfl.dll
C:\WINDOWS\system32\drivers\ntfs.dll

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
————————————————————————————————————————
从下面项,可看出系统文件userinit.exe已被病毒替换,可以去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe文件,复制到C:\WINDOWS\system32文件夹里替换。或者在附件里下载,那是我这XP系统里的userinit.exe文件。替换前先结束Userinit.exe进程。没进程就直接替换。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <nsiuxhqqw><nsiuxhqqw.exe>  []
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys>  [N/A]
    <{20e92ce9-cb7a-4d99-9e86-78389df1dfd2}><C:\WINDOWS\system32\IGB_DJOL_1021.dll>  []
    <{efc11f26-5b84-4aba-bc7e-1a3eb14118a0}><C:\WINDOWS\system32\IGB_WMSJ_1008.dll>  []
    <{272fd92f-0d1a-4317-b053-4d2e231eb1c7}><C:\WINDOWS\system32\IGB_WMGJ_1022.dll>  [N/A]
    <{08af88f8-e0bd-4e35-b421-a41dce21415d}><C:\WINDOWS\system32\IGB_ZX_1016.dll>  [N/A]
    <{00C2C07C-E519-4187-ADF4-B4E313A99947}><>  [N/A]
    <{43708bf6-be99-4a60-a6e6-7e2df49d6e3f}><C:\WINDOWS\system32\IGB_JZ_1018.dll>  [N/A]
    <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll>  [N/A]
    <{a3d7c0d2-8c19-48c6-92c9-e1c0cccccd66}><C:\WINDOWS\system32\IGB_CQSJ_1008.dll>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》高级修复》重置Winsock  (注意!!!一定要修复,然后重启电脑,然后你才能上网,不要厌烦重启电脑,手工处理病毒,这都是必须的)
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本,全盘杀毒。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 20:59 | 短消息 资料
字号: 7楼

正宗的机器狗病毒。

那个userinit.exe在这的附件里,实际你的系统里还有个备份的,在C:\WINDOWS\system32\dllcache文件夹里

附件附件:

下载次数:114
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-23 20:59:37
描述:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 21:03 | 短消息 资料
字号: 8楼

引用:
【冰箱里的大象的贴子】
你这不是帮倒忙吗?

运用瑞星的添加删除组件将监控卸载,再运用瑞星的添加删除组件将监控添加即可。

或者到瑞星的程序文件夹D:\Program Files\Rising\Rav\Update,运行程序Setup,覆盖一遍即可。
………………

一般在中了机器狗的电脑里不建议过快的更新杀毒软件处理系统,因为可能会杀了那个userinit.exe病毒文件,而导致用户重启后,不能进系统。
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-01-23 21:09 | 短消息 资料
字号: 9楼

1,从c:\windows\system32\dllcache文件中复制userinit.exe文件替换c:\windows\system32\下的userinit.exe文件

2,用SRE修复以下:
    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[Symantec AntiVirus Definition Watcher / DefWatch]   

    启动项目 -- 服务-- 驱动程序之如下项删除:
[msskye / msskye]    <system32\DRIVERS\msaclue.sys>
[NAVENG / NAVENG]    <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20050831.016\naveng.sys>
[NAVEX15 / NAVEX15]    <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20050831.016\navex15.sys>
[NetGroup Packet Filter Driver / NPF]    <system32\drivers\npf.sys>


3.用XDelBox以抑制再生方式删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\nsiuxhqqw.exe
c:\windows\system32\yld32.dll
c:\windows\system32\igb_djol_1021.dll
c:\windows\system32\igb_wmsj_1008.dll
c:\windows\phwvisxr.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\dbghlp32.dll
c:\windows\vviecohb.dll
c:\windows\system32\cuhad.dll
c:\windows\system32\duygnef.dll
c:\windows\system32\rsqq.dll
c:\windows\system32\xjxr.dll
c:\windows\system32\ydtlsfl.dll
c:\windows\system32\drivers\ntfs.dll
c:\windows\system32\igb_cqsj_1008.dll
c:\windows\fonts\rsjzbpm.dll
c:\windows\system32\igb_jz_1018.dll
c:\windows\system32\igb_zx_1016.dll
c:\windows\system32\igb_wmgj_1022.dll
c:\program files\internet explorer\plugins\wn_sys8x.sys
C:\WINDOWS\NSIUXHQQW.EXE
c:\windows\cmdbcs.exe
c:\windows\dbghlp32.exe
c:\windows\system32\drivers\msaclue.sys
c:\progra~1\common~1\symant~1\virusd~1\20050831.016\naveng.sys
c:\progra~1\common~1\symant~1\virusd~1\20050831.016\navex15.sys
c:\windows\system32\drivers\npf.sys
C:\WINDOWS\system32\yld32.dll

4.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{a3d7c0d2-8c19-48c6-92c9-e1c0cccccd66}] 
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}]   
[{43708bf6-be99-4a60-a6e6-7e2df49d6e3f}]   
[{00C2C07C-E519-4187-ADF4-B4E313A99947}]   
[{08af88f8-e0bd-4e35-b421-a41dce21415d}]   
[{272fd92f-0d1a-4317-b053-4d2e231eb1c7}]   
[{efc11f26-5b84-4aba-bc7e-1a3eb14118a0}]   
[{20e92ce9-cb7a-4d99-9e86-78389df1dfd2}]   
[{9963387B-212E-4643-B207-82DAEA0E713D}]   
[nsiuxhqqw]   
[cmdbcs]   
[DbgHlp32]   
 
    系统修复-浏览器加载项之如下删除:
[]
  {9963387B-212E-4643-B207-82DAEA0E713D}

    系统修复-Winsock 供应者之如下删除:
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\yld32.dll(, N/A)

5.更新杀毒软件至最新,进行全盘杀毒
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-01-23 21:11 | 短消息 资料
字号: 10楼

gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT