瑞星卡卡安全论坛

该吃饭了。
后三个——再说吧。饿呀！
——————————————
sysldr32.exe的查杀

1、用SSM禁止C:\windows\sysldr32.exe运行。
2、用SSM结束sysldr32.exe进程。
3、删除下列文件：
C:\windows\sysldr32.exe
4、清理注册表
展开HKLM\Software\Microsoft\Windows\CurrentVersion\Run\   
删除SystemLoader（指向C:\windows\sysldr32.exe）       


sachostx.exe    的查杀
1、用SSM禁止C:\windows\sachostx.exe运行。
2、用SSM结束sachostx.exe进程。
3、删除下列文件：
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\sachostp.exe

4、清理注册表
展开HKLM\Software\Microsoft\Windows\CurrentVersion\Run\   
删除sachost（指向C:\windows\sachostx.exe）       

打开注册表是在运行里输什么?忘了
下次要拿笔记 ,以后记在脑子里就不会忘了

引用:

【过客无痕的贴子】打开注册表是在运行里输什么?忘了 下次要拿笔记 ,以后记在脑子里就不会忘了 ...........................

regedit

ssm 有没有汉化版的 在哪下啊?
是不是这个?(如图)

附件: 689782200652182326.BMP

SSM 在设置中就有个中文的..它是多国语言的...

在哪可以下 ? 我这个在安装的时候好象可以选择,但是装好以后却是中文.并且是System Safety Monitor 2.0.6.568版,.我弄成中文的了,不过这是旧版还是?有新版本的在哪下啊?
这几个病毒都可以解决了是吗?因为是办公室的电脑,我没那边的钥匙,所以做起事来不方便

http://www.fzsky.net/soft/softview_48262.html
最新版的下载地方..
可以解决 你按斑竹的方法删就行...

好的 不过要等晚上

引用:

【过客无痕的贴子】在哪可以下 ? 我这个在安装的时候好象可以选择,但是装好以后却是中文.并且是System Safety Monitor 2.0.6.568版,.我弄成中文的了,不过这是旧版还是?有新版本的在哪下啊? 这几个病毒都可以解决了是吗?因为是办公室的电脑,我没那边的钥匙,所以做起事来不方便 ...........................

如果用SSM搞掂了这两个，剩下的那3个，就不用我多嘴了吧。
举一反三，用SSM，你自己应该能将他们灭掉。

我也中过这个病毒！！很麻烦！！

看来还是一个小木马

下载安装以后打不开 没用
提示:Driver was found Please reinstall the application
system Safety Monitor already started
SSM 用不了 怎么办呢

引用:

【过客无痕的贴子】下载安装以后打不开 没用 提示:Driver was found Please reinstall the application system Safety Monitor already started SSM 用不了 怎么办呢 ...........................

原先的SSM没有卸净。
请在安全模式下删除system32\drivers\文件夹中的safemon.sys。重启后，再安装新版的SSM。

我第一安装SSM就是这样的提示?
怎么会存在没有卸装干净呢?
郁闷

引用:

【过客无痕的贴子】我第一安装SSM就是这样的提示? 怎么会存在没有卸装干净呢? 郁闷 ...........................

如果是共用的电脑，你不能排除其它人以前装过SSM。

装了没用 真是郁闷
我反复试了几次,你说的那个文件在卸装的时候我打开文件夹
清眼看到它被自动删掉了,再找就没有safemon.sys这个文件了
并且你上面说有可能是别人装的,那确实 不太可能
因为办公室除了我其他人都不会下载,也不会下载东西.
再说这是杀毒辅助工具软件,他们就更不会下到这个东西上去了

引用:

【过客无痕的贴子】下载安装以后打不开 没用 提示:Driver was found Please reinstall the application system Safety Monitor already started SSM 用不了 怎么办呢 ...........................

提示:Driver was found Please reinstall the application
system Safety Monitor already started？
提示:Driver was not found Please reinstall the application
system Safety Monitor already started？
一字之差，却有本质区别。
如果是后一个提示，说明SSM未找到其驱动程序safemon.sys。这时，应该卸载SSM，重新安装。
如果WINDOWS下安装不成，请尝试在“安全模式”下安装SSM。

根本正常启动不了  我一直都是在安装模式下操作的
我在 电脑急救发了贴求助,我按照他们说的作了处理,所以有些东西跟你们想像的不一样
你可不可以去看看 ,拜托,要不我把贴子复制下来 发给你们看??
http://www.pcsos.com.cn/bbs/showthread.php?t=50660

引用:

【过客无痕的贴子】根本正常启动不了  我一直都是在安装模式下操作的 ...........................

只差一句话没说，就出这种不该出的问题。
SSM在“安全模式下根本无法加载safemon.sys。所以，SSM在安全模式下无法正常运行。
安装好SSM，就在普通WINDOWS模式下搞！没问题。

我倒~~~~~~~~~~~~~~

我倒~~~~~~~~~~~~~~哈哈~~

正常启动仍无法打开桌面,按Ctrl+Alt+del提示"任务管理器已被系统管理停用",在桌面打开之前  一个错误对话框提示

  "Explorer.EXE - 应用程序错误"

  ×    应用程序正常初始化(c0xc0000005)失败。请单击"确定",终止应用程
  说明一下:我曾在电脑救援中心论坛上发了贴求助,我按照他们说的作了处理,所以有些东西跟你们想像的不一样
你可不可以去看看 ,拜托,要不我把贴子复制下来 发给你们看??链接是http://www.pcsos.com.cn/bbs/showthread.php?t=50660

引用:

【过客无痕的贴子】正常启动仍无法打开桌面,按Ctrl+Alt+del提示"任务管理器已被系统管理停用",在桌面打开之前  一个错误对话框提示   "Explorer.EXE - 应用程序错误"   ×    应用程序正常初始化(c0xc0000005)失败。请单击"确定",终止应用程   说明一下:我曾在电脑救援中心论坛上发了贴求助,我按照他们说的作了处理,所以有些东西跟你们想像的不一样 你可不可以去看看 ,拜托,要不我把贴子复制下来 发给你们看??链接是http://www.pcsos.com.cn/bbs/showthread.php?t=50660 ...........................

我没有“想象”。
这两个病毒的查杀——完全是运行你给的样本的实际杀毒操作记录。

但是 我在给你之前已经作过一些操作
并且我们的机子本身可能还存在其他问题
所以我想问一下 是不是会有一些差异呢
你装了SSM能正常打开,我装了确实是打不开
现在该怎么办呢 ?

我现在打在那边所作的操作发过来给你看看啊
我发贴：（。。。）省略号里是扫描进程
今天居然中毒了.开始是自动弹出安装一个 什么mir....2000,我不记得了,有点像Microsoft 2000,我看到有点不正常,点了取消,取消错误,提示说找不到安装盘,取消了几次 我点了确定, 后面 桌面被换,换成绿色的底色,上面的字是英文,看不懂,不过最上面的是说明我的机子的CPU及内存, 下面有两个 什么"*** here " 星号是我不认识的英文单词, 放鼠标上去变成 超级链接 的小手模样,我没点.点右键\属性,是一件文件样子的属性,不是桌面的属性,我进控制面板点显示,想改桌面,改不了.因为速度好慢,我知道CPU已占满了,想打开任务管理器结束一些进程,点了没反应,再想打开看时,任务管理器已变成灰色.没办法,重启了

正常启动,到了桌面状态,无法打开桌面图标,能看到我换回来的桌面图,按Ctrl+Alt+del提示"任务管理器已被系统管理停用",进安全模式,发现多了一个叫"zhang"的管理员帐户,进"zhang"管理员帐户,在桌面状态打不到图标,没反应了/

按F8选择"最后一次正确配置"进入像正常启动情况一样.

回复如下：
进控制面板卸载来路不明程序，运行Hijackthis，选择"仅扫描系统"，在下列选项前打上勾，然后关闭除jackthis以外其他程序和IE窗口，点“修复选项”,出现提示时点“是”继续：

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\svchest.exe
O1 - Hosts: 202.103.67.180 auto.search.msn.com
O4 - 启动项HKLM\\Run: [svchost] C:\WINDOWS\TEMP\RarSFX0\svchost.exe
O4 - 启动项HKLM\\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - 启动项HKLM\\Run: [xp_system] C:\WINDOWS\inet20002\services.exe
O4 - 启动项HKLM\\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - 启动项HKLM\\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - 启动项HKLM\\Run: [sachost] C:\WINDOWS\sachostx.exe
O4 - 启动项HKLM\\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的按钮: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\lcjhadop.dll
O23 - NT 服务: Windows Audio Update (AudioSrver) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - NT 服务: Disk System Access - Unknown owner - C:\WINDOWS\svploov.exe
O23 - NT 服务: Remote Access Administrators (RasAdmins) - Unknown owner - C:\WINDOWS\svchost.bat
清除后重启电脑按F8进安全模式，打开我的电脑 工具 文件夹选项 查看 设置windows显示所有隐藏文件、受保护的系统文件和文件夹，然后手动删除：
C:\WINDOWS\svchest.exe
C:\WINDOWS\TEMP 文件夹内所有文件
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\inet20002\services.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\intell321.exe
C:\WINDOWS\svchost.bat

这两项还在:

O23 - NT 服务: Windows Audio Update (AudioSrver) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - NT 服务: Remote Access Administrators (RasAdmins) - Unknown owner - C:\WINDOWS\svchost.bat (file missing)

点击“开始”　“运行”，输入“services.msc”命令，弹出服务对话框
在“控制面板”中选择“管理工具→服务”，或者直接在“运行”中 输入“Services.msc”打开服务设置窗口

停止这两项服务:

Windows Audio Update (AudioSrver) - Unknown owner - C:\WINDOWS\svchost.exe
Remote Access Administrators (RasAdmins) - Unknown owner - C:\WINDOWS\svchost.bat (file missing)

再进安全模式删除相应的文件.

修复后删除对应文件:O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Documents\Settings\2014.dll

你说的那个 O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Documents\Settings\2014.dll
修复:O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20002\3.03.00.dll

修复不了啊  ?  怎么办呢?修复完扫描还在,文件也没办法删掉

去如下站点扫描C:\Documents and Settings\All Users\Documents\Settings\2014.dll：
http://www.virustotal.com/flash/index_en.html (点击页面右上角的BROWSE 然后选中要扫描的文件  再点SEND)
我去了那个站点  扫描结束后发了报告上去 他们看了说不是病毒
这以上的都是用 HijackThis  扫描修复

楼上的是我已经做过的操作,这个是他告诉我而我没做的
之后用了System Repair Engineer 来扫描 扫描以后他们看了回复如下
启动文件夹
服务
[Windows Audio Update / AudioSrver]
  <C:\WINDOWS\svchost.exe><N/A>
[Disk System Access / Disk System Access]
  <C:\WINDOWS\svploov.exe><N/A>
[Remote Access Administrators / RasAdmins]
  <C:\WINDOWS\svchost.bat><N/A>

己知这几项不是系统文件,如能在启动中停止它们运行,可再进安全模式删除它们.
点击 开始 运行 输入:MSCONFIG 确定 然后点启动,如发现以上项,将它前面的勾去掉,重启 

请问下现在我该怎么办了?

regedit--确定

【回复“过客无痕”的帖子】
24、25楼讨论的内容——都没有错。HJ修复那些项目，实质是删除木马/病毒的启动加载项，不让病毒运行，然后才能删除病毒文件。
既然病毒文件名及其路径都已经知道了，用SSM禁止病毒运行、重启、删除病毒文件。这与用HJ是一样的。
如果说有什么不同，那就是：用SSM，到目前为止，我还没失手过。用HJ，倒是偶有修复失败（病毒启动加载项不能成功删除）的例子。
喜欢用那个，自己选择吧。

我不会的啊  全靠你了 我现在该怎么办呢?

正常启动无法打开桌面,按Ctrl+Alt+del提示"任务管理器已被系统管理停用",在桌面打开之前 有一个错误对话框提示

"Explorer.EXE - 应用程序错误"

× 应用程序正常初始化(c0xc0000005)失败。请单击"确定",终止应用程
单击两下确定,一直停留在桌面背景上,桌面都无法打开,就不可能用SSM啊.

我现在该怎么办呢?  全靠你了啊~~!!