瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于iexpl0re、winlog0n.exe(“雨薇在线”)木马
菜鸟玩病毒 - 2007-3-9 8:31:00
感谢lz分享..
1destroy1 - 2007-3-9 12:05:00
看不懂
luang - 2007-3-9 12:25:00
呵呵,我也揪出这个来了!下面是SRE的报告文件:
?  ]
2007-03-09,10:49:16

System Repair Engineer 2.3.13.690
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><; C:\WI璂OWS\systU?2\CTFMON.EXE>  [(Verified)Microsoft Corporation]
    <pyjj><; C:\Program Files\拼音加加4\jjsvr4.exe>  [加加开发组]
    <5257xk53><C:\WINDOWS\iexpl0re.exe>  [N/A]
    <y0vvmkmqf5><C:\WINDOWS\winlog0n.exe>  [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <runeip><C:\Program Files\Rising\AntiSpyware\runiep.exe>  [Beijing Rising Technology Co., Ltd.]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
    <Thunder><"C:\Program Files\Thunder5.2.0.207\Thunder.exe" /s>  [Thunder Networking Technologies,LTD]
    <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <SoundMan><; SOUNDMAN.EXE>  [(Verified)Realtek Semiconductor Corp.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Corporation]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
    <{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}><C:\WINDOWS\system32\bdscheca100.dll>  [N/A]
    <{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\program files\拼音加加4\rvbsfgyd.dll>  [N/A]
    <{7AED4686-F3AB-44EC-A118-D70ADF6CCE21}><C:\Program Files\Common Files\InfoMs.Dat>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <PostBootReminder><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Corporation]
    <CDBurn><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Corporation]
    <WebCheck><%SystemRoot%\system32\webcheck.dll>  [(Verified)Microsoft Corporation]
    <SysTray><C:\WINDOWS\system32\stobject.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    <{438755C2-A8BA-11D1-B96B-00A0C90312E1}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Corporation]
    <{8C7461EF-2B13-11d2-BE35-3078302C2030}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\system32\logon.scr>  [(Verified)Microsoft Corporation]

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Rising Proxy  Service / RfwProxySrv][Stopped/Manual Start]
  <c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService][Stopped/Auto Start]
  <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter][Stopped/Auto Start]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
  <"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Stopped/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[Rising TDI Base Driver / BaseTDI][Stopped/Auto Start]
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.>
[ExpScaner / ExpScaner][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rav\ExpScan.sys><>
[HookCont / HookCont][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rav\HOOKCONT.sys><Rising>
[HookReg / HookReg][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rav\HookReg.sys><>
[HookSys / HookSys][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rav\HookSys.sys><Rising>
[HookUrl / HookUrl][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rfw\HookUrl.sys><Beijing Rising Technology Co., Ltd.>
[MEMSCAN / MEMSCAN][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rav\MEMSCAN.sys><瑞星软件有限公司>
[mProcRs / mProcRs][Stopped/Auto Start]
  <\??\c:\program files\rising\rfw\mProcRs.sys><Beijing Rising Technology Co., Ltd.>
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv][Stopped/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Stopped/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[RsFwDrv / RsFwDrv][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.>
[RSPPSYS / RSPPSYS][Stopped/Auto Start]
  <\??\C:\Program Files\Rising\Rav\RSPPSYS.sys><Rising>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>

==================================
浏览器加载项
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder5.2.0.207\ComDlls\XunLeiBHO_002.dll, Thunder Networking Technologies,LTD>
[]
  {A692062A-11A1-461B-BEA0-B520F01F9DAE} <C:\WINDOWS\system32\3721.ini, N/A>
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[Windows Media Player]
  {22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[PowerPlr Control]
  {2354A44B-3CEB-4829-9940-545B03103538} <C:\PROGRA~1\Powerise\REAL2A~1\PowerPlr.ocx, Powerise Digital>
[HHCtrl Object]
  {52A2AAAE-085D-4187-97EA-8C30DB990436} <C:\WINDOWS\system32\hhctrl.ocx, Microsoft Corporation>
[Windows Media Player]
  {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder5.2.0.207\ComDlls\XunLeiBHO_002.dll, Thunder Networking Technologies,LTD>
[]
  {A692062A-11A1-461B-BEA0-B520F01F9DAE} <C:\WINDOWS\system32\3721.ini, N/A>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[上传到QQ网络硬盘]
  <C:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A>
[使用迅雷下载]
  <C:\Program Files\Thunder5.2.0.207\Program\GetUrl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder5.2.0.207\Program\GetAllUrl.htm, N/A>
[添加到QQ自定义面板]
  <C:\Program Files\Tencent\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
  <C:\Program Files\Tencent\QQ\SendMMS.htm, N/A>

luang - 2007-3-9 12:26:00
接着上篇:==================================
正在运行的进程
[PID: 148][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 208][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 232][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 276][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 288][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 428][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 476][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 532][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 744][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
[PID: 1172][C:\Program Files\winrar\WinRAR.exe]  [N/A, N/A]
[PID: 1188][C:\DOCUME~1\lg\LOCALS~1\Temp\Rar$EX00.359\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
N/A

==================================
API HOOK
N/A

==================================


[/CODE]
此病毒会自动关闭瑞星杀毒,但不会关防火墙和卡卡!
我也用过SSM,但是老是登陆一些应用程式的时老报错,所以不用了!
能不能讲下SRE下或冰刃下怎么搞定啊!我用SRE只是编辑他的两个启动选项,然后清除了一个XXX.BAT的文件,不知会不会也自动复原!
飞逝v流星 - 2007-3-9 21:41:00
学习了
绝尘天使 - 2007-3-10 1:22:00
【回复“baohe”的帖子】
用瑞星每次都是清除成功,重启之后又出现了

路径是C:\Program Files\Internet Explorer\IEXPLORE.EXE
有没有别的办法,向各位大哥求救啦 先在这里谢谢大哥

瑞星提示:毒分类 WINDOWS下的PE病毒 病毒名称 Backdoor.Gpigeon.nve
     行为类型 WINDOWS下的木马程序
nancyz - 2007-3-10 8:49:00
谢谢提供这样好的方法。。。
yulf - 2007-3-10 11:22:00
引用:
【baohe的贴子】
用免费版吧
………………


偶去找找,看能不能找到免费版的.谢谢猫猫猫叔
guanshenyan - 2007-3-10 13:19:00
..好像很复杂啊~~~~~~>..<
瓶子里没有水 - 2007-3-10 13:32:00
不懂~~。。 佩服版主。。。
咕噜猪zzZ睡觉觉 - 2007-3-10 18:01:00
oh my god!!
凝逸飘飞 - 2007-3-11 20:59:00
发个样本给我,谢谢
503165656@qq.com
afdsfsa - 2007-3-12 1:23:00
好贴
afdsfsa - 2007-3-12 1:29:00
佩服,随便问下你用的什么软件,瑞星只能查,有3个文件中毒杀不了wsttrs.dll  ,wsttrs.exe  ,my[1].exe
athenacai - 2007-3-12 10:33:00
我是菜鸟 看不懂
baohe - 2007-3-12 12:17:00
引用:
【afdsfsa的贴子】佩服,随便问下你用的什么软件,瑞星只能查,有3个文件中毒杀不了wsttrs.dll  ,wsttrs.exe  ,my[1].exe
………………

用到的软件,图中的标题栏都显示了。
jiqimao401 - 2007-3-12 14:33:00
杀了2次还没杀掉,害人的东西.
gao680719 - 2007-3-12 15:44:00
请问大家,有没有杀这个毒的帖子呀.这个毒不知是怎么来的.网吧机有还原软件,从起就没事.不过用一会就又有了.在c:\program Files的子目录里有雨薇在线的三个文件,有时四个.
听听毒猫 - 2007-3-13 0:13:00
这个病毒不好做,我的电脑也中了,不知道咋杀。杀了还有,只要一打开机一会儿还打开N个iexplorer,用户名是system,我晕惨了!!!
菜鸟玩病毒 - 2007-3-13 12:19:00
感谢lz分享......
絮絮妹妹 - 2007-3-13 19:53:00
很好,很详细呀,呵呵~~~~~~~
晓轩窗gg - 2007-3-14 13:20:00
日志里N/A代表什么意思呀?
wsheaven - 2007-3-14 21:59:00
那个ssm我找了好几个都不能用,郁闷死了。开始下载了个不能用,后来卸了重新下了个,可是安装不了,老说SSM的驱动程序已经加载,让重启,可重启了也安装不了。咋办啊。。

我机器也中了这个木马,搞不掉,急死我了。
baohe - 2007-3-14 22:31:00
引用:
【wsheaven的贴子】那个ssm我找了好几个都不能用,郁闷死了。开始下载了个不能用,后来卸了重新下了个,可是安装不了,老说SSM的驱动程序已经加载,让重启,可重启了也安装不了。咋办啊。。

我机器也中了这个木马,搞不掉,急死我了。
………………

你没卸净SSM。
请删除system32\drivers\目录下的safemon.sys,才能执行再次安装。
wsheaven - 2007-3-14 22:44:00
谢谢baohe。
我的有这么多。。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <iw7sxgz><C:\WINDOWS\Servera.exe>  []
    <6hwfmyiuu3heym><C:\WINDOWS\winlog0a.exe>  []
    <47ud3hlf7><C:\WINDOWS\iexpl0ra.exe>  []
    <76beviir><C:\WINDOWS\crasoa.exe>  []
    <es7><C:\WINDOWS\rundl13a.exe>  []
    <zif33c7r><C:\WINDOWS\c0nima.exe>  []
    <fuuxgd137><C:\WINDOWS\servicea.exe>  []
    <glrwxfvx><C:\WINDOWS\cftmoa.exe>  []

还有个毛病,就是C:\Documents and Settings\Administrator\Local Settings\Temp被不断的添加些EXE执行文件,请问这也是雨~~~木马吗?
baohe - 2007-3-14 22:48:00
引用:
【wsheaven的贴子】谢谢baohe。
我的有这么多。。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <iw7sxgz><C:\WINDOWS\Servera.exe>  []
    <6hwfmyiuu3heym><C:\WINDOWS\winlog0a.exe>  []
    <47ud3hlf7><C:\WINDOWS\iexpl0ra.exe>  []
    <76beviir><C:\WINDOWS\crasoa.exe>  []
    <es7><C:\WINDOWS\rundl13a.exe>  []
    <zif33c7r><C:\WINDOWS\c0nima.exe>  []
    <fuuxgd137><C:\WINDOWS\servicea.exe>  []
    <glrwxfvx><C:\WINDOWS\cftmoa.exe>  []

还有个毛病,就是C:\Documents and Settings\Administrator\Local Settings\Temp被不断的添加些EXE执行文件,请问这也是雨~~~木马吗?
………………

你的情况和这个帖子叙述的木马群相似,但又有不同。
下载器下载的木马/病毒是经常变化的。
相信你能用SSM搞掂。
wsheaven - 2007-3-14 22:56:00
谢baohe。
刚重新安装了SSM。但是~启动不了,总让我reboot。。安装完都重启过了,怎么不能用?
我是从它官网上下的免费版啊~

附件: 6512962007314224712.jpg
baohe - 2007-3-14 23:03:00
引用:
【wsheaven的贴子】谢baohe。
刚重新安装了SSM。但是~启动不了,总让我reboot。。安装完都重启过了,怎么不能用?
我是从它官网上下的免费版啊~
………………

似乎是SSM的驱动(safemon.sys)不能加载所致。
先用IceSword搞掂病毒。
卸载SSM,再重新安装看看怎么样。
wsheaven - 2007-3-14 23:09:00
谢谢baohe。
不过我太菜~照葫芦画瓢我是会,我用SSM就是为了照您教的那样杀那木马啊。。先用冰刃杀我不会。。
SSM我开始卸载过了,都是让我重启重启,今天一天我光捣腾这个重启都不下20遍了。。

要不我发个日志您帮看看?
baohe - 2007-3-14 23:15:00
引用:
【wsheaven的贴子】谢谢baohe。
不过我太菜~照葫芦画瓢我是会,我用SSM就是为了照您教的那样杀那木马啊。。先用冰刃杀我不会。。
SSM我开始卸载过了,都是让我重启重启,今天一天我光捣腾这个重启都不下20遍了。。

要不我发个日志您帮看看?
………………

请贴SREng扫的日志
123
查看完整版本: 关于iexpl0re、winlog0n.exe(“雨薇在线”)木马
© 2000 - 2026 Rising Corp. Ltd.