遇到最牛B的病毒了，求助(问题已解决) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛遇到最牛B的病毒了，求助(问题已解决)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 遇到最牛B的病毒了，求助(问题已解决)

zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:	发表于： 2008-11-01 23:16 \| 只看楼主短消息资料字号：小中大 1楼遇到最牛B的病毒了，求助(问题已解决) 昨晚中毒，情况如下： 1、杀软被禁或被破坏，且无法更新下载，下载其他杀毒工具也被禁 2、部分应用程序点击无效，任务管理器打不开，D、E、F盘打不开 3、每次开机系统时间的年份被改回到2003，月日时对的 4、GENERIC HOST PROCESS曾经报错 5、桌面任务栏小图标颜色加深或轻微重影，整个WINDOWSXP视窗也有些不对劲 6、IE主页被篡改 7、开机瑞星查毒报rootkit.win32.mnless.a病毒，清除 8、查注册表发现很多软件被劫持，且大多数对应的键值为c:\windows\system\svchost.EXE!,使得网上说的修改甚至是直接删除该项的方法不奏效，因为根本没法删，现在干脆无法进入ieof项 9、昨晚开始上网（用TT）查找资料手杀，弄了大半天，删了不少病毒文件，修复不少注册项，终于可以打开盘符和任务管理器，唯有卡卡上网助手把时间改回正确可以更新下载了，但重新扫描没有结果。 10、按照网上的说法，先下载了建立安全环境工具，运行重启，瑞新重组（其中不断组件破坏是否继续安装）杀毒，查毒Win32.Gdata.a但路径指向文件居然是RAV.EXE！瑞星自身的执行文件，且无法清除，发现瑞新的图标不能正常显示！ 11、进程里有四个svchost.exe进程，都是GENERIC HOST PROCESS的哪位能帮在下，谢谢用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0; Avant Browser; Chinarank Toolbar) zliangg 最后编辑于 2008-11-02 14:10:22
zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:	分享到：

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-01 23:17 \| 短消息资料字号：小中大 2楼回复：遇到最牛B的病毒了，求助解决问题需要配合 1.扫日志前建议清理助手清理系统 http://www.arswp.com/download.html 解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断同时观察清理助手是否报告系统文件被替换。如清理无效 2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序 3.到官方下载SReng 下载地址 http://www.kztechs.com/sreng/download.html SREng/智能扫描等扫描完成,保存日志(LOG格式) PS：如主程序SREng.exe无法运行,导致无法扫描日志将主程序改名为小狮子.bat 或小狮子.scr 4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志下载金山清理专家 http://www.duba.net/qing/ 金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告 5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛**.已发帖请跟贴，勿另开新帖。如以上工具不能打开或正常运行，短消息call我
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:	发表于： 2008-11-01 23:28 \| 只看楼主短消息资料字号：小中大 3楼回复 2F aaccbbdd 的帖子谢谢！问题诗很多杀软工具被劫持没法扫描使用，甚至是下载都不行，一旦识别有诸如“读duba”字样的就没法下载，甚至是网页都不让打开！
zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-01 23:35 \| 短消息资料字号：小中大 4楼回复：遇到最牛B的病毒了，求助附件1. 改版SRENG SREng/智能扫描等扫描完成,保存日志(LOG格式) 附件2 改版金山 http://www.duba.net/qing/ 金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告试试如不能运行将主程序改为小狮子.scr 附件: 文件名:sreng1018修改版.rar 下载次数:142 文件类型:application/rar 文件大小: 上传时间:2008-11-1 23:37:37 描述:rar 附件: 文件名:金-山-诊-断及粉-碎-器.rar 下载次数:230 文件类型:application/rar 文件大小: 上传时间:2008-11-1 23:37:37 描述:rar aaccbbdd 最后编辑于 2008-11-01 23:39:23
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:	发表于： 2008-11-02 00:16 \| 只看楼主短消息资料字号：小中大 5楼回复: 遇到最牛B的病毒了，求助把报告扫上来了附件: 文件名:SREngLOG.log 下载次数:157 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-2 0:16:08 描述:log
zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-02 00:26 \| 短消息资料字号：小中大 6楼回复：遇到最牛B的病毒了，求助 userinit.exe 和Explorer 从正常的同版本号系统拷文件替换本机文件替换后操作前强烈要求先断网 1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除 )，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 c:\windows\delautorun.bat c:\windows\system32\userinit.exe, c:\windows\vrkdyofvmdid3002.dll c:\windows\icpb.dll c:\windows\system32\drivers\s51l4fhki.sys c:\windows\system32\ca99d57.sys 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [DelAutorun] <C:\WINDOWS\DelAutorun.bat> 启动项目－－服务－－ Win32服务应用程序之如下项删除： (选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务） [ZYZFGOZWX / ZZJGWCZON] <C:\WINDOWS\system32\svchost.exe -k QWWZCONTG-->C:\WINDOWS\VrKdyOfvMdID3002.DLL> [IPRIP / IPRIP] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\icpb.dll> 启动项目－－服务－－驱动程序之如下项删除： (选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务） [ti6i5xoy0 / ti6i5xoy0i] <> [ti6i5xoy0 / ti6i5xoy0i] <> [s51l4fhki / s51l4fhki] <\SystemRoot\system32\drivers\s51l4fhki.sys> [ca99d57 / ca99d57] <\??\C:\WINDOWS\system32\ca99d57.sys> 闪人，累死了
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:	发表于： 2008-11-02 12:16 \| 只看楼主短消息资料字号：小中大 7楼回复 6F aaccbbdd 的帖子太感谢了但如下不懂 userinit.exe 和Explorer 从正常的同版本号系统拷文件替换本机文件同版本号？
zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-02 12:32 \| 短消息资料字号：小中大 8楼回复：遇到最牛B的病毒了，求助 http://bbs.ikaka.com/showtopic-8417665.aspx 2楼附件里
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:	发表于： 2008-11-02 12:34 \| 只看楼主短消息资料字号：小中大 9楼回复: 遇到最牛B的病毒了，求助另外，那个USER文件替换后还要删除吗其他几个文件已手动删除
zliangg 初生襁褓狮帖子:12 注册: 2008-11-01 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-02 12:36 \| 短消息资料字号：小中大 10楼回复 9F zliangg 的帖子替换不就只剩下正常文件了正常文件userinit.exe被删除后你会体验到登录系统就注销的痛苦。。。。
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT