瑞星卡卡安全论坛

今天瑞星检控突然关闭，心知不妙，遂查毒，有三，如下：

病毒名称 处理结果 发现日期 查杀方式 路径 文件 病毒来源       
Worm.Win32.DownLoad.ab        删除成功    2007-12-20 13:52:17  手动查杀   
D:\Program Files\sreng25\SuspiciousFiles\P_SELOADDRIVER   
TXHMOU.EXE.V  本机 
Worm.Win32.DownLoad.ab        删除成功    2007-12-20 13:52:29  手动查杀 
D:\Program Files\sreng25\SuspiciousFiles\AUTORUNINF     
SOS.EXE.V  本机 
Worm.Win32.DownLoad.ab        删除成功    2007-12-20 13:52:29  手动查杀
D:\Program Files\sreng25\SuspiciousFiles\AUTORUNINF
SOS.EXE_3621918998.V  本机

杀完，检控仍瘫痪，求高人相助。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 72050020071220144435.txt

这项感觉怪怪的，去看看系统启动必须的文件userinit.exe还是不是系统原来的。
其他没看出什么。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
至于瑞星软件可以选择开始菜单里找瑞星的“添加删除程序”里找“修复”瑞星软件试试

或者重装瑞星软件。

这D:\Program Files\sreng25\里原本是什么？？

userinit.exe这个如何鉴定真伪？

“添加删除程序”里“修复”是灰的点不了。。。

D:\Program Files\sreng25\是扫日志的那个程序呀。。。2.5版的

莫非需要重下一个扫描程序。。。？

userinit.exe

貌似是有问题，sreng说是非正常值，尝试修复失败（修复了再点还有）

随便了，一般下载这工具建议放在系统Windows文件夹里，因为几乎所有病毒都不感染这个文件夹里的可执行文件。

其他的文件夹易被感染。

原来的那个不要了吧。删除了吧。

至于userinit.exe
可以看看文件属性里是否被修改，有修改时间的。

修改时间：2004年8月17日, 12:00:00

重下了个扫描

顺便扫了个新日志

附件: 72050020071220154241.txt

现在正常了，看不出什么了。

你平时可以将瑞星的主动防御的那个系统加固推到最高。

平时注意瑞星的提示，就可以了。

重起了下机器，监控是正常了，

userinit.exe这个sreng还在说是非正常值。。。

这个啊

呵呵！！

就会提示的。

没关系

不用考虑了。

实在怕，就去在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]

就是将<Userinit><userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]  修改为为：
<AppInit_DLLs><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]

也就是将userinit.exe,换成C:\Windows\system32\userinit.exe,

注意那个C:\Windows\system32\userinit.exe,

后面那个“，”号不要少了，同时这“，”号还必须是英文状态输入法下的。

没找到那项注册表项。。。真晕

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]指的是键路径吗。。。

只有一个[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Ondcard]

在扫日志的SRENG工具》启动项目》注册表》里面找

就是在这找的。。。

就是有：名字 数据 键路径 3项的那个吧。

莫非是这一项被删了。。。。

噢

是我错了，

你重新打开那SRENG工具，当它提示该项时，你根据提示同意修改为默认的，就可以了。

或者去直接打开注册表，手工去依路径找到改一下吧。



附件: 83907720071220172422.jpg

不论自动修复还是手动修改都无效，手动时被告知出错

修复了，还是冰刃狠

不过不知道用编辑器修复不了的原因。。。

呵呵！！！

那是我忘记要你关闭瑞星的主动防御了。

汗死了

瑞星的主动防御在那里强制保护呢。

这么说冰刃把主动防御都斩了。。。

病毒能利用冰刃的这种强大功能么。。。？

当然能啦

能搞了杀毒软件的病毒可多了去了。

不过如果你能够熟悉系统的话，可以用那主动防御控制任何想要运行的东西。
所以你只要在以后注意瑞星的主动防御的提示，就可以阻止很多病毒的初始运行。

不过这就需要将瑞星的主动防御开至最高了。

该用户帖子内容已被屏蔽