瑞星卡卡安全论坛

情各位大侠帮帮忙，谢谢！
c:\windows\system32\com\services.exe
c:\documents and settings\user\local settings\temp\wupdate.exe
c:\documents and settings\user\local settings\temp\plugins1.exe
c:\windows\system32\y.exe


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
昨天解决了之后 今天 c:\windows\system32\com\services.exe
这病毒又冒出来了

我新扫描了日志，那位大侠路过帮忙解决一下，谢谢！

附件: 7387122008117162202.txt

这里官网下载冰刃强制删除下面文件：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

c:\Program Files\Logonui\Royale.exe
c:\program files\common files\system\serv.exe

——————————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><"\Program Files\Logonui\Royale.exe">  [N/A]
将<UIHost><"\Program Files\Logonui\Royale.exe">  [N/A]修改为：
<UIHost><logonui.exe>
就是将里面的\Program Files\Logonui\Royale.exe修改为logonui.exe
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[nkserv / nkserv][Stopped/Auto Start]
  <c:\program files\common files\system\serv.exe -system><Microsoft Corporation>
————————————————————————————————————
再重启电脑，查看以上操作项的效果或是否成功。没成功的，继续操作一遍，然后再重启电脑。

升级杀毒软件至最新版本全盘杀毒。

c:\Program Files\Logonui\Royale.exe这个好像是番茄花园桌面吧，那些用PowerRmv.com这个软件删除行么？

搞定了，谢谢！！

“升级杀毒软件至最新版本全盘杀毒。”我之前就是看见下面几个程序老是询问防火墙，我杀了一次毒，没有显示:\windows\system32\com\services.exe
c:\documents and settings\user\local settings\temp\wupdate.exe
c:\documents and settings\user\local settings\temp\plugins1.exe
c:\windows\system32\y.exe

程序是病毒。。。

如果能找到文件，就上报瑞星看看。

昨天解决了之后 今天 c:\windows\system32\com\services.exe
这病毒又冒出来了

我新扫描了日志，那位大侠路过帮忙解决一下，谢谢！

你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载：http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制，然后打开Xdelbox直接使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\SYSTEM32\COM\SERVICES.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式

你的其他盘的文件可能有部分感染。

愿意的话，去下载江民的2008免费30天的杀毒软件，安装升级一下，全盘杀毒试试。

还不行，就格盘重装系统。

明白，谢谢！1

【回复“天月来了”的帖子】
天月： 你好，删除C:\WINDOWS\SYSTEM32\COM\SERVICES.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE
之后，相应的位置出现了相同名字的空文件夹SERVICES.EXE和SMSS.EXE（隐藏状态），这两个文件夹要删除么？

那是抑制再生用的。

不删了

留着吧。

不影响你的。

还可以阻止病毒再生。（虽然不很强）

【回复“天月来了”的帖子】
恩，明白，刚才重启了之后发现进程中有个5084.exe的进程出现了一下就不见在进程里了，现在在全盘杀毒 发现了一个病毒Trojan.DL.Win32.Mnless.ru

看来还是系统有些文件被感染了。

实在不行，就找机会重装系统吧。

那5084.exe搜索找找在哪。

不过得彻底显示系统文件和隐藏文件才能搜索到。

搜索时还得钩选搜索隐藏文件夹项。

我先等全盘杀毒完了的，重装系统 等要安装老多补丁了，现在用的系统可以正常更新补丁的...

SYSTEM32\COM\SERVICES.EXE病毒删除之后出现了
C:\WINDOWS\SYSTEM32\COM\SERVICES.EXE]
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE]
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE]
在用XDelBox1.6和SRENG清除变成了C:\WINDOWS\Temp\5024.exe，
清除了5024.exe之后 隐藏进程[412] C:\WINDOWS\VM_STI.EXE变成了
特殊特权被允许： SeDebugPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
附件是新扫描的日志，情各位大大帮忙看看，多谢了！


附件: 7387122008117224533.txt

特殊特权被允许： SeDebugPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]

这个应该是摄像头的程序。

如果观察一阵，不再出那些就没事了。

日志里实在看不出什么了。