瑞星卡卡安全论坛

瑞星开机就提示 但是杀不掉 然后瑞星就自动关闭 下面是我的日志

Logfile of HijackThis v1.99.1
Scan saved at 10:52:53, on 2007-3-5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\mhs3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rund1132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spolive.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_007.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [mhs3] C:\WINDOWS\mhs3.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
O4 - HKLM\..\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [ravshell] C:\WINDOWS\system32\rund1132.exe
O4 - HKCU\..\Run: [svc] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spolive.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{398F22C4-862B-4F8C-A869-3D41956A8B45}: NameServer = 202.96.64.68 202.96.69.38
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

结束下列进程：
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [mhs3] C:\WINDOWS\mhs3.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
O4 - HKLM\..\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O4 - HKCU\..\Run: [ravshell] C:\WINDOWS\system32\rund1132.exe
O4 - HKCU\..\Run: [svc] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spolive.exe
到安全模式用最新瑞星查杀。

正在运行的病毒进程:
C:\WINDOWS\system32\rund1132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spolive.exe

病毒启动项:
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [mhs3] C:\WINDOWS\mhs3.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
04 - HKLM\..\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O4 - HKCU\..\Run: [ravshell] C:\WINDOWS\system32\rund1132.exe
O4 - HKCU\..\Run: [svc] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spolive.exe



杀毒过程如下:

启动电脑到安全模式(启动时按F8选安全模式)

1.打开运行对话框.输入"msconfig"打开系统配置进程.

取消勾选"cmdbcs"、"mhs3"、"mppds"、"msccrt"、"wsttrs"等系统启动自加载可疑选项.[其实全部禁用即可.只留下个杀毒随机启动就行.]


2.Alt+Ctrl+Del组合键打开系统任务管理器.

结束以下进程:

mppds.exe
cmdbbcs.exe
msccccrt.exe(msccrt.exe)
mhs3.exe
wsfttrs.exe(wsttrs.exe)
rund1132.exe


3.进入X:\WINDOWS[X为系统所在盘符] ..

尝试删除如下五个exe文件.

mppds.exe
cmdbbcs.exe
msccccrt.exe(msccrt.exe)
mhs3.exe
wsfttrs.exe(wsttrs.exe)



4.win+R键打开运行对话框.输入"regedit"打开注册表.

删除hkey_locol+machine\software\microsoft\windows\currentversion\run分支下的所有选项.rav跟rfw分支留着.. 这素瑞星和瑞星的防火墙...

删除同一分支下的runonce、runonceex里可疑的选项.runonce里可能有ravstub分支. 这也素瑞星的. 留着 ..




系统到这里就算是干净了 ... 如果仍心有余悸的 ..

可以按照如下方法再做做看 ...


1.首先进入安全模式 ...
　删除C盘下的svchost.exe .. 没出现此进程的跳过此步 ...

2.其次进入Q所在文件夹.
显示所有文件.看是否有两个相同的TIMPLATF0RM.exe ...
删除最后时间建立的那个TimPlarf0rm.exe .

3.手动开启瑞星杀毒软件全面扫描下C盘.看是否仍有病毒余孽 ...
之后没出现毛病的 .恭喜. 此病毒就算远离你的计算机了 ... ...


另外.机子里可能有出现runiep.exe 这个进程 ...

这不是什么病毒进程.. 不要太疑心疑鬼了..

装了卡卡上网助手的话.就会出现这个监视浏览器的进程..

X:\WINDOWS 怎么进入?

问题基本解决了 谢谢大家  可是一开机 又出现
c:\windows\system32\norton.sys  瑞星杀毒忽略

X:\WINDOWS
X是代表你的系统安装盘盘符...
一般情况下都是装在C分区的...
所以..
X:\WINDOWS
也就是..
C:\WINDOWS

c:\windows\system32\norton.sys 瑞星杀毒忽略

1：安全模式下删除
进入安全模式...打开搜索...
工具...文件夹选项...查看...取消隐藏保护文件前的勾...下面选显示所有文件和文件夹...
然后搜索"norton.sys"...确认为病毒后删除该文件即可...
2：可以找和冰刃一样的软件强删除