瑞星卡卡安全论坛
新生上路 - 2007-12-12 11:58:00
systvm自动复制在C:\windows\system32\systvm.exe
任务管理器被关闭,不能打开。
Reg.exe反复运行
Systvm自动连接上网
IE主页被修改,不允许再改动
重启电脑总是自动运行 chkdsk D:盘
瑞星根本查不出这个病毒
有哪位高手知道如何彻底清除该病毒?万分紧急!!!
新生上路 - 2007-12-12 12:11:00
bbs.366tian.net/viewthread.php?tid=786992
上面联接里有人给出扫描报告,还有人出招手动杀毒,不知斑竹是否认同那里给的方法。
谢谢!
新生上路 - 2007-12-12 12:34:00
怎么没人回应啊,急!急!急!
新生上路 - 2007-12-12 13:02:00
急啊!
健儿乐 - 2007-12-12 13:06:00
我也是这样啊!怎么办?
njdzhan - 2007-12-12 13:12:00
那个方法应该可以,你试一下不就可以了
中天的人都挺牛的
Cheir520 - 2007-12-12 13:13:00
升级杀毒软件再杀啊,安全模式下杀,结合瑞星卡卡,360查杀哦,呵呵!!
新生上路 - 2007-12-12 13:44:00
杀毒软件是刚更新的,瑞星,卡卡都查不出这是个病毒啊。和安全模式没关系啊。
健儿乐 - 2007-12-12 14:01:00
但是下载了360安装不了,怎么办?
天月来了 - 2007-12-12 14:05:00
关键是不知道你的系统中的情况和你说的那地方一不一样哩???
既然在那里你都看到SRENG日志了,怎说了那么多,还不见发SRENG日志附件来看看呢???
扫SRENG日志发来
http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
或者可以把报告保存后以附件的形式发上来,把日志文件的扩展名改成“.txt”
honeykgb - 2007-12-12 15:09:00
| 引用: |
【天月来了的贴子】关键是不知道你的系统中的情况和你说的那地方一不一样哩???
既然在那里你都看到SRENG日志了,怎说了那么多,还不见发SRENG日志附件来看看呢???
扫SRENG日志发来
http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
或者可以把报告保存后以附件的形式发上来,把日志文件的扩展名改成“.txt”
……………… |
我也中了这个毒
autorun.inf文件不会杀,现在弄不下去了,楼上大侠帮看看吧,谢谢!
附件:
98962720071212145818.txt
天月来了 - 2007-12-12 15:26:00
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
<NWEReboot><> [N/A]
<crsss><C:\WINDOWS\system32\Systvm.exe> [N/A]
————————————————————————————————
这下的,不完全需要自启动的,愿意的话,也删除了吧
==================================
启动文件夹
[AutoCAD 启动加速器]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AutoCAD 启动加速器.lnk --> C:\PROGRA~1\COMMON~1\AUTODE~1\ACSTAR~1.EXE [Autodesk, Inc]><N>
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项,将启动类型改为“Disabled”
==================================
服务
[Remote IPRIP Listener / Iprip][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\rimon.dll><Microsoft Corporation>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
{53707962-6F74-2D53-2644-206D7942484F} <C:\PROGRA~1\SPYBOT~1\SDHelper.dll, Safer Networking Limited>
Microsoft Corporation>
[QuickFlash]
{BF50AC63-19DA-487E-AD4A-0B452D823B59} <C:\WINDOWS\system32\fsutk.dll, >
[Quick search]
{BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[同花顺]
{39852EFE-325B-45ef-9A60-3DBECD2DDDD5} <C:\WINDOWS\system32\thsbar.dll, 同花顺>
[GovTifActiveX Control]
{001290E5-CD10-4957-9D2B-FD2B74990219} <C:\WINDOWS\DOWNLO~1\GOVTIF~1.OCX, zhiquan>
[GovTifActiveX Control]
{001290E5-CD10-4957-9D2B-FD2B74990219} <C:\WINDOWS\DOWNLO~1\GOVTIF~1.OCX, zhiquan>
——————————————————————————————————————————
重启电脑,用WinRAR打开各个磁盘,删除每个磁盘根目录下的下面两个文件:
Autorun.inf
Sos.Exe
——————————————————————————————————————————
升级杀毒软件至最新版本,全盘杀毒。
然后,还不行,可以再扫个新日志以附件形式发来看看。
honeykgb - 2007-12-12 15:58:00
同花顺是看股票的,先不删了吧?
天月来了 - 2007-12-12 16:01:00
| 引用: |
【honeykgb的贴子】同花顺是看股票的,先不删了吧?
……………… |
可以啊,随便你,你自己确认没事的就可以自己选择的。
newcenturymoon - 2007-12-12 16:05:00
C:\windows\system32\systvm.exe压缩加密 123发送到newcenturymoon1986@yahoo.com.cn
honeykgb - 2007-12-12 16:18:00
楼上的斑竹XD,那个文件已经被我删掉了,不好意思不能发给你了,谢谢
谢谢天月来了大侠,我已经用XDELBOX删了AUTORUN.EXE和SOS.EXE
就是G:盘的居然藏在2个同名的文件夹里,要写成G:\AUTORUN.INF和G:\SOS.EXE才能删掉,现在正在最后扫描,等会儿发上来留做参考,再次谢谢天月来了!
honeykgb - 2007-12-12 16:32:00
晚上再传日志了
honeykgb - 2007-12-12 16:51:00
天月来了 - 2007-12-12 17:02:00
这到底什么文件?自己去看看去。改个名,重启电脑。
c:\windows\system32\liprip.dll
C:\WINDOWS\System32\fsutk.dll
c:\windows\system32\rimon.dll
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项,将启动类型改为“Disabled”
==================================
服务
[Remote IPRIP Listener / Iprip][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\irmon.dll><N/A>
————————————————————————————————————
再重启电脑
honeykgb - 2007-12-12 23:22:00
| 引用: |
【天月来了的贴子】这到底什么文件?自己去看看去。改个名,重启电脑。
c:\windows\system32\liprip.dll
C:\WINDOWS\System32\fsutk.dll
c:\windows\system32\rimon.dll
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项,将启动类型改为“Disabled”
==================================
服务
[Remote IPRIP Listener / Iprip][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\irmon.dll><N/A>
————————————————————————————————————
再重启电脑
……………… |
改了那3个文件的名字,重新启动没有什么问题,就是主页变成了BLANK
而那2个服务我改成disable以后重新启动状态变成STOPPED/AUTO START
又改成了DISABLE,还没有重起
风暴男 - 2007-12-12 23:25:00
杀毒都杀成精了。。累不。。。还手工。。
小红。伞。。微 点随便搞个不久OK了。。反正又没兼容性问题。HOHO
honeykgb - 2007-12-12 23:27:00
另外,刚刚重启动以后,不久有个报警:BACKDOOR.WIN32.AGENT.YOS
看了一下病毒隔离系统,发现今天已经发作多次,而且今天还发作了另外好几个病毒,啥时候能省点心啊
honeykgb - 2007-12-12 23:30:00
| 引用: |
【风暴男的贴子】杀毒都杀成精了。。累不。。。还手工。。
小红。伞。。微 点随便搞个不久OK了。。反正又没兼容性问题。HOHO
……………… |
也是不错的建议,俺一般不会自己手动杀毒,只是今天碰上这个瑞星根本查不出来,而且影响了我的机器运行,不得不杀,其他杀毒软件其实也一样会有查不出来的毒啊
1
© 2000 - 2026 Rising Corp. Ltd.