瑞星卡卡安全论坛

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

建议：清空IE临时文件（IE-工具--internet选项--删除inetrnet临时文件）。

关闭系统还原：
删除：
启动文件夹
[AutoCAD 启动加速器]
  <D:\Documents and Settings\All Users\「开始」菜单\程序\启动\AutoCAD 启动加速器.lnk --> D:\PROGRA~1\COMMON~1\AUTODE~1\ACSTAR~1.EXE [Autodesk, Inc]><N>


然后进安全模式下重新杀毒。

把所有IE缓冲文件（临时文件，COOKIES，保存的密码。网页表单信息）等等。。。

怎么你的系统盘在D盘的啊。。唉。。。。看不习惯。。

该用户帖子内容已被屏蔽

建议：下载Iceword强制删除下列文件
D:\WINDOWS\system32\liprip.dll
D:\WINDOWS\system32\rimon.dll
D:\WINDOWS\system32\mscories.dll
使用Iceword重启电脑（文件-重启并监视）
使用SRENG删除
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><D:\WINDOWS\system32\Rundll32.exe D:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]
服务
[Remote IPRIP Listener / Iprip][Running/Auto Start]
  <D:\WINDOWS\System32\svchost.exe -k netsvcs-->D:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Stopped/Auto Start]
  <D:\WINDOWS\System32\svchost.exe -k netsvcs-->D:\WINDOWS\system32\rimon.dll><Microsoft Corporation>

该用户帖子内容已被屏蔽

照17楼试试并告诉结果。

该用户帖子内容已被屏蔽

引用:

【wjia的贴子】 谢谢CAPTjoe !还得教教我,我下载了那个... 可是我怎么找不到要删除的文件呢?好笨啊! ………………

建议：点一下“名称”，文件就有规律了。

关闭系统还原后清除所有临时文件夹和IE缓存的文件！再用杀软到安全模式下查杀！

该用户帖子内容已被屏蔽

日志中看到下面的正在运行的进程里，查入两个模块，不知道什么：

[PID: 864 / SYSTEM][D:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [d:\windows\system32\liprip.dll]  [Microsoft Corporation, 5.1.2600.0(xpclient.010817-1148)]
    [D:\WINDOWS\System32\fsutk.dll]  [, 1, 0, 0, 1]

病毒全是F盘的耶

应该有其他病毒程序在运行,可以通过主动防御规则设置查询到时哪个文件可疑.选择主动防御设置->应用程序访问控制->添加->选择规则应用对象(选择*)->添加(文件)->监控目标(选择已知的那个病毒,你这边选择D:\WINDOWS\system32\liprip.dll)-〉监控操作（选择创建和修改）-〉然后点确定就行了
然后用瑞星杀毒后重启电脑，如果病毒文件还存在，则察看历史记录（在瑞星主界面-〉操作-〉历史记录），察看主动防御记录中的应用程序访问控制-〉文件访问控制，就能发现是那个进程创建了那个病毒文件，找到对应的文件路径，把可疑文件提取发送给瑞星http://up.rising.com.cn/webmail/uploadnew.htm。

该用户帖子内容已被屏蔽