求助 winsh48d。dll

ztxtaidt

今天早上卡巴斯基提示中毒了，winsh48d。dll 是什么东西，见附图，老是从电脑里蹦出来这个对话框。
发现QQ号也被盗了  晕呐

chen_c_yaun

如果是开机出现DLL出错（杀毒后遗症），可以按一下操作：
1、开始→运行→msconfig→启动→把加载项***.dll的那个勾勾去掉→重启电脑
如果还弹出来再进行
2、开始→运行→regedit →在下面的位置删除相应键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

建议在安全模式下全盘杀毒

ztxtaidt

谢谢楼上，可是还是不行。。。 还是老弹出那个对话框啊。。。

Fdisk

开始-运行-regedit-编辑-查找-winsh48d.dll-找到删除，直到搜索完毕
如果还不行利用工具autoruns删除可疑启动项
也有可能还有病毒残余
上传SREng扫描报告到病毒救援区，
方法
选择"智能扫描"功能,扫描前把手动打开的软件关掉。把保存的log贴上来
     1、解压缩sreng2.zip   
     2、运行SREngLdr.EXE
     3. 如果下载后不能运行请删除已下载的,然后重新下载.下载后首先不要运行先将下载的SREngLdr.EXE重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者abc.exe运行.
      4、智能扫描=》扫描=》保存报告
      5、把日志SREngLOG.log中的报告打包上传
http://www.kztechs.com/sreng/sreng2.zip（右键迅雷下载）

ztxtaidt

发现  API HOOK
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)


详见附件

[ 本帖最后由 ztxtaidt 于 2008-12-27 14:38 编辑 ]

河洛星光

klif.sys

Kaspersky内核驱动

ztxtaidt

附件已上传

Fdisk

日志好像没有问题，分析日志不太在行，
我也无能为力了
实在不行新建一个账户试试
  为了不改变使用习惯，我们可以将以前的“桌面”和“快速启动栏”拷到现在的用户下，具体对应路径如下：
1：桌面 —— C:\Documents and Settings\用户名\桌面
　　2：快速启动栏 —— C:\Documents and Settings\用户名\Application Datamicrosoft\Internet Explorer\Quick Launch