瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » IE 病毒?
elva_love - 2007-9-2 12:49:00
开机启动之后 瑞星自动变小红伞,必须手动开启监控。

时不时自动执行IE进程,卡卡提示IE试图启动系统盘的 1.exe或者别的数字程序。

打开IE浏览网页的时候也会出现上述情况,这时候看进程会有俩IE进程(我只浏览一个网页)。



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)


附件: 295338200792123911.txt
elva_love - 2007-9-2 12:51:00
传了SREng全面扫描的日志,请高手帮忙看看!
elva_love - 2007-9-2 12:56:00
启动项目里有个可疑东西,但是删不掉。
WinFormA7.dll
elva_love - 2007-9-2 13:28:00
都吃饭呢?怎么没人?
haohe的fans - 2007-9-2 15:07:00
下载 System Repair Engineer系统扫描工具软件,下载地址如下:
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法:
1、解压缩所下载的sreng2.zip压缩包;
2、打开已经解压缩的SRENG文件夹,双击运行其中的SREng.exe(如果不能运行,请删除已经解压的SRENG文件夹和其包含的所有文件,重新下载新的压缩包或用已下载的压缩包重新解压,解压时请将解压后的文件夹名改为111,解压后,进入111文件夹,不要运行其中的SREng.exe这个可执行文件,先将其直接改名为111.bat、111.scr、111.com或111.pif,或者改为111.exe,然后再双击运行);
3、依次按“智能扫描”、“扫描”、“保存报告”,将日志保存到硬盘上;
4、找到并打开日志,把日志中的内容用“复制”--“粘贴”命令拷贝到帖子上,不要修改地传上来(日志很长,一个帖子搞不完,请手动将全部内容分多个回复帖子传上来)。
友情提示:
扫描日志前关闭所有手工打开的软件和窗口。
注意在没有进一步提示前,请勿用SRENG工具胡乱修复,否则系统可能变的情况更糟。
elva_love - 2007-9-3 15:27:00
扫描日志在一楼,
elva_love - 2007-9-3 15:36:00
帮忙看一下,发现注册表AppInit_DLLs项不正常 值为WinFormA7.dll

似乎是IE加载项,怎么修复都不行,原封不动,改不了。
elva_love - 2007-9-3 15:37:00
安全模式下也无法删除,
nkevin - 2007-9-3 15:38:00
用Xdelbox,这个软件,删除如下文件:

F:\WINDOWS\vsnpstd3.exe
F:\Program Files\NetMeeting\ravmsmon.exe
F:\WINDOWS\NVDispDrv.exe
F:\Program Files\NetMeeting\ravgjmon.exe(看看有没有同名的dat类型文件。。。。写早了,后面还真有dat的)
F:\WINDOWS\system32\WinFormA7.dll
F:\Program Files\NetMeeting\ravmsmon.dat
F:\Program Files\NetMeeting\ravgjmon.dat
elva_love - 2007-9-3 15:44:00
谢谢楼上的,但是第一个程序是摄像头驱动,第2个不是瑞星的程序吗?

nkevin - 2007-9-3 16:01:00
第一个文件,我具体记不清了。但我能肯定,它不是摄像头的”驱动文件”,对于摄像头,驱动文件一般是sys,cat,dll类型。exe的,一般是摄像头的辅助程序。对于摄像头的使用,没用处。

第二个,看似是瑞星“rav。。”,但你看看,它在什么位置?

你的瑞星又装在哪里?
elva_love - 2007-9-3 16:08:00
"F:\Program Files\Rising\Rav\Rav.exe"
这是我瑞星装的地方,那几个文件确实不是瑞星文件?那我删了。
我下了你说的那个软件。
日不懂啊 - 2007-9-3 17:11:00
用SRENG在启动项里删除
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]
<ravmsmon><F:\Program Files\NetMeeting\ravmsmon.exe>  []
<NVDispDrv><F:\WINDOWS\NVDispDrv.exe>  []
<ravgjmon><F:\Program Files\NetMeeting\ravgjmon.exe>  []
驱动里删除
[mssock / mssock][Stopped/Manual Start]
  <\??\F:\WINDOWS\system32\mssock.sys><N/A>

找到文件F:\WINDOWS\system32\WinFormA7.dll  改名为123.DLL
重起
删除F:\WINDOWS\system32\123.dll 
F:\Program Files\NetMeeting\ravmsmon.exe
F:\WINDOWS\NVDispDrv.exe
F:\Program Files\NetMeeting\ravgjmon.exe

再用SRENG 的启动项目里把
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><WinFormA7.dll>  []
设置为空
启动项目里删除
<{B12BC423-3713-224D-3F55-32B35C62B11B}><F:\WINDOWS\system32\WinFormA7.dll>  []


elva_love - 2007-9-3 19:36:00
非常感谢!
1
查看完整版本: IE 病毒?
© 2000 - 2026 Rising Corp. Ltd.