昨天杀完毒后不停的弹出杀毒对话框，但怎么杀也杀不了，而且所有盘都进不去了，第一开始直接无法访问，现在又变成弹出打开方式的对话框..主页被改成http://www.9348.cn/?205438我也改不回来了..

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

提交
c:\windows\system32\SkDll.exe
c:\windows\system32\drivers\ecydh.sys
C:\WINDOWS\system32\PvDZ.dll

下面的进注册表操作
打开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
删除下面的键值
    <{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}><C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>  [File is missing]
    <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll>  [File is missing]
    <{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}><C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>  [File is missing]
    <{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll>  [File is missing]
    <{762D618C-E2CB-4217-8275-03302A93073F}><C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>  [File is missing]
    <{0127FA15-17DA-4FA3-9675-49BB9CF57053}><C:\WINDOWS\fonts\gPwRF8Rwxb.fon>  [File is missing]
    <{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}><C:\WINDOWS\system32\BbXhGSfTsBbxT83aR.dll>  [File is missing]
    <{5A40895A-E2BC-4a54-8F1E-D9FB54DB6E6E}><C:\WINDOWS\system32\eijkoopg.dll>  [File is missing]
    <{7A713577-C200-4DD2-A00F-F596EAF2E93E}><C:\WINDOWS\fonts\UY9BAMKvGrn7yfjF.fon>  [File is missing]
    <{0CF2A461-4E55-4A3F-8375-97982911BBF0}><C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon>  [File is missing]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  [File is missing]
    <{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}><C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>  [File is missing]
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}><C:\WINDOWS\fonts\MbsV2QQJe.fon>  [File is missing]
    <{EA25F4E7-8B67-452A-B9DD-B38C526250D3}><C:\WINDOWS\fonts\Q9UnbAWWNuSv4.fon>  [File is missing]
    <{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll>  [File is missing]
    <{15882A2F-A06D-486E-8958-E84C86CBF273}><C:\WINDOWS\fonts\fyrwJf5Qfhh.fon>  [File is missing]
    <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll>  [File is missing]
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  [File is missing]
    <{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}><C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon>  [File is missing]
    <{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll>  [File is missing]
    <{49043CF7-E4A4-47D7-B393-E1523D262189}><C:\WINDOWS\system32\hNdcS96gQxDk.dll>  [File is missing]
    <{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll>  [File is missing]
    <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>  [File is missing]
    <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll>  [File is missing]
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>  [File is missing]
    <{CD95107F-52A5-42A4-9914-18949993E798}><C:\WINDOWS\fonts\tY5UFS434YYd.fon>  [File is missing]
    <{E0528BDA-C850-4F23-93E4-7F907C1EF30E}><C:\WINDOWS\system32\BRv8dETwEzcN.dll>  [File is missing]
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  [File is missing]
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  [File is missing]
    <{DA112397-5376-4E52-A333-A85284658DEA}><C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon>  [File is missing]
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}><C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon>  [File is missing]

删除这个目录下的所有键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

建议删除，如果不放心可以先上传检测！
补充:  1.    建议使用费尔删除以下文件（签名处下载）

c:\program files\common files\system\mintroot.sys


    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[MintRoot / MintRoot]    <\??\C:\Program Files\Common Files\System\MintRoot.sys>

**************以上分析报告由SREngLog分析助手提供******************
分析：QoS
时间：2009-7-25
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

[quote] 原帖由 sinoer 于 2009-7-25 10:35:00 发表
提交
c:\windows\system32\SkDll.exe
c:\windows\system32\drivers\ecydh.sys
C:\WINDOWS\system32\PvDZ.dll

这三个是怎么弄的

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
上传样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心为：http://mailcenter.rising.com.cn/uploadnew.aspx

下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\PvDZ.dll
C:\WINDOWS\system32\SkDll.dll
c:\windows\system32\SkDll.exe
c:\windows\system32\drivers\ecydh.sys

不论提取结果如何，哪怕提取失败，也请压缩发来看看
——————————————————————————
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\PvDZ.dll
C:\WINDOWS\system32\SkDll.dll
c:\windows\system32\SkDll.exe

不论删除结果如何继续下面操作

这里下载映像劫持清除管理工具，清除检测到的劫持项。
附件: 映像劫持清除管理以及修复工具.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

在扫日志的SRENG工具》系统修复》高级修复》修复安全模式

然后重启电脑，尽量进安全模式下
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[mylc / mylc][Running/Boot Start]
  <\SystemRoot\system32\drivers\ecydh.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

再重启电脑，看情况如何

C:\WINDOWS\system32\PvDZ.dll
提取出的是个TXT文本，名称ARFIRE
我现在杀毒不停地是Trojan.Win32.Nodef.kfg,路径全都是C:\Program Files\Internet,还有个始终杀不掉的也在这个路径，<unknown virus>

[quote] 原帖由 天月来了 于 2009-7-25 11:10:00 发表


貌似还是不行

Trojan.PSW.Win32.GameOlx.ey
c:\WINDOWS\ststem32\pvdz.dll
这个东西就是弄不掉。。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面不是全部都是映像劫持的……