瑞星卡卡安全论坛

電腦好像中了叫「Keylog-Ardamax.dll」的病毒，與「C:\WINDOWS\System32\Explorer.007」這個程式有關，防毒軟件殺不掉，試了很多方法了…

請救救我吧！

萬分感激！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MEGAUPLOAD 1.0; .NET CLR 1.1.4322)


附件: 7751152008115182931.txt

用XDelBox软件以抑制再生方式删除文件：
C:\WINDOWS\System32\Explorer.exe
C:\WINDOWS\System32\Explorer.006
C:\WINDOWS\System32\Explorer.007

删除注册表
<Explorer>
编辑注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]下
<shell>值为c:\windows\Explorer.exe

更新杀毒软件至最新，进行全盘杀毒

最主要的问题解决了！计算机的运行速度变回正常状态了！感谢豪斯登堡新郎的帮助！

但是不知为何登入WINDOWS后会自动弹出一个窗口，路径为「C:\WINDOWS\System32\Explorer.exe」，里面什么也没有，这有方法删除/解决吗？

谢谢！

p.s. 附上最新的日志

附件: 7751152008115232002.txt

最好发个截图来看看

截图附上。thanks!

每當登入的時候電腦螢幕就是這個樣子。雖然那個叫「Explorer.exe」的視窗是可以關掉的，但每次登入電腦時就會出現，感到有點兒煩懮。

附件: 7751152008117162927.jpg

扫SRENG日志发来
http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发来了。
一定以附件形式发来

删除这个文件：
C:\WINDOWS\System32\Explorer.exe

删除启动项：
<Explorer><C:\WINDOWS\System32\Explorer.exe>  []

「C:\WINDOWS\System32\Explorer.exe」這個文件不存在，可能在較早前已經刪除了。

用msconfig找查了啟動項目，並以regedit.exe 冊除了啟動項目所指與「Explorer.exe」有關的資料，現在電腦好像回覆正常了。感謝各位的幫忙。

附上最新的SREngLOG，可以麻煩幫忙看看還有沒有問題嗎？謝謝！

附件: 7751152008117192408.txt

不知道還有沒有需要，再附上最新hijackthis的日誌。

附件: 7751152008117192633.txt

很多东西不认识，所以也难以判断这三个模块文件到底是什么。
C:\WINDOWS\System32\DictInfo.dll
C:\WINDOWS\System32\exeProc.dll
C:\WINDOWS\System32\DreyeSkinCtrls.dll

从日志下面这部分看，也难判断系统文件C:\Windows\Explorer.exe还是不是系统原文件了。
但是从进程里看，还是原来的文件。
Boot Items
Registry
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  []
其他看不出什么了。

你再用一段时间看看吧。

好！謝謝你！

p.s. 那三個文件，我想應該沒有什麼問題的，是字典「譯典通」的系統檔。