瑞星卡卡安全论坛
可怜滴人 - 2008-1-19 14:54:00
按照你做的但是还是svchost.exe还在启动...
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )附件:
8323992008119155321.txt
天月来了 - 2008-1-19 15:03:00
你说svchost.exe启动是指什么样的启动???
一般我们这电脑里都要启动好几个svchost.exe
天月来了 - 2008-1-19 15:08:00
而且日志进程里,也没看到有那个WINDOWS/system32/wbem文件里的东西。
可怜滴人 - 2008-1-19 15:10:00
他的用户名不是LOCAL SERVICE也不是NETWORK SERVICE 也不是SYSTEM 是以我的用户名名义打开的.但我什么都没有做他就自己启动。而且都在WINDOWS/SYSTEM32/WBEM生成名字4个数字的文件夹里面还有一个叫svchost.exe的文件.
天月来了 - 2008-1-19 15:10:00
你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,(一定要解压出来运行,不要懒)运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox,勾选“抑制文件再生”,直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”
c:\windows\system32\wbem\dkvrktvnx.dll
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[Windows Time / W32Time][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\system32\wbem\dkvrktvnx.dll><N/A>
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。
可怜滴人 - 2008-1-19 15:11:00
大概在扫之前我把他删了,不过删了之后只要再启动一次又会有了。我现在把有的日志贴上去
天月来了 - 2008-1-19 15:12:00
那你用2008瑞星禁了那文件夹里的东西创建,看看提示些什么。
愿意的话,去下载2008的江民免费30天的那杀软,安装升级后,全盘再杀看看。
可怜滴人 - 2008-1-19 15:15:00
上传好了。再看下吧
佟相玉与白展堂 - 2008-1-19 15:17:00
系统的时间怎么有毛病?现在明明刚三点!不过你上传什么东西?
可怜滴人 - 2008-1-19 15:20:00
我电脑的显示时间是15:04.日志重新贴过了
天月来了 - 2008-1-19 15:26:00
用Xdelbox这个工具去删除这文件
C:\WINDOWS\system32\wbem\eehbpdvnx.dll
可怜滴人 - 2008-1-19 15:29:00
刚发现的问题.现在右键单击我的电脑点属性它会提示windows找不到文件C:\WINDOWS\system32\rundll32.exe而且进控制面板里点什么都是这个。。又办法解决吗??
天月来了 - 2008-1-19 15:37:00
晕死了
你等会
我发个这文件给你。
原来你那贴里
我弄错一个文件。
不好意思。
可怜滴人 - 2008-1-19 15:42:00
哦哦。麻烦了啊。。
天月来了 - 2008-1-19 15:46:00
去你的C:\WINDOWS\system32\dllcache文件夹里找那个rundll32.exe
复制到C:\WINDOWS\system32文件夹里就可以了。
那个dllcache文件夹是隐藏的,系统的属性。
你得在“文件夹选项”那里设置你的系统显示隐藏文件和系统文件,才能看到。
可怜滴人 - 2008-1-19 15:49:00
我找不到这个dllcache文件夹..
天月来了 - 2008-1-19 15:53:00
| 引用: |
【可怜滴人的贴子】我找不到这个dllcache文件夹..
……………… |
地址栏里直接输入C:\WINDOWS\system32\dllcache
然后回车,就打开了。
可怜滴人 - 2008-1-19 15:54:00
复制好了。不过他还是说找不到
天月来了 - 2008-1-19 15:56:00
| 引用: |
【可怜滴人的贴子】复制好了。不过他还是说找不到
……………… |
重启看看。
可怜滴人 - 2008-1-19 15:57:00
那个问题解决了。。不过我前面系统还原了下。。之前那个帖子的步骤貌似白做了。。能不能麻烦你从头到尾说一下该删哪些东西???真的麻烦你了啊。。
天月来了 - 2008-1-19 16:00:00
啊
你刚系统还原了啦。
那还得再扫新日志看看了。
说不定你还原后,就没事了呢。
可怜滴人 - 2008-1-19 16:02:00
额...希望吧..等下..我扫好复制到前面的去
可怜滴人 - 2008-1-19 16:05:00
好了。。麻烦看下吧
天月来了 - 2008-1-19 16:05:00
| 引用: |
【可怜滴人的贴子】额...希望吧..等下..我扫好复制到前面的去
……………… |
兄弟
你就发现在你这贴里,接贴发哦。
老往前面跑,累得慌。
嘻嘻。
你就点我这贴的“引用”
就可以发来啦。
可怜滴人 - 2008-1-19 16:06:00
| 引用: |
【天月来了的贴子】
兄弟
你就发现在你这贴里,接贴发哦。
老往前面跑,累得慌。
嘻嘻。
你就点我这贴的“引用”
就可以发来啦。
……………… |
附件:
8323992008119155524.txt
天月来了 - 2008-1-19 16:18:00
你干脆往前面多还原几天看看。
那些东西又出来了。
可怜滴人 - 2008-1-19 16:20:00
再前面没还原点了..是不是按照你前面那个帖子说的再做一遍再按照这个帖子你前面说的做一下就好了??
天月来了 - 2008-1-19 16:29:00
这个文件总觉得不对头,很长时间没见有这样的到处乱插进程的了。你将它改个名试试。
C:\WINDOWS\system32\SYNCOR11.DLL
————————————————————————————————————————————————
你还用Xdelbox这个工具去删除这些文件。
Xdelbox下载:http://www.dodudou.com/down/里面的原创软件文件夹下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,(一定要解压出来运行,不要懒)运行xdelbox前请卸载所有可移动存储设备。
将下面的文件信息全部复制,然后打开Xdelbox,勾选“抑制文件再生”,直接使用右键菜单的“剪贴板导入不检查路径”导入,并全选文件选择右键菜单的“立刻重启删除”
C:\WINDOWS\system32\dpsck.dll
C:\WINDOWS\winsmd.exe
C:\WINDOWS\system32\winsmd.exe
C:\Program Files\DAEMON Tools SearchBar\whse.exe
C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL
C:\WINDOWS\system32\spted.dll
C:\WINDOWS\system32\drivers\ADProt.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iMSPCLOj.sys
C:\WINDOWS\System32\drivers\khsercqi.sys
C:\WINDOWS\system32\drivers\oreans32.sys
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后,再做下面的:
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
<DPC><Rundll32 "C:\WINDOWS\system32\dpsck.dll",Start> [N/A]
<SOUNDM><winsmd.exe> [N/A]
<WhenUSearchWHSE><"C:\Program Files\DAEMON Tools SearchBar\whse.exe"> [N/A]
<IFEO[cdnup.exe]><C:\WINDOWS\system32\rundll32.exe> [N/A]
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[QoS Service / BUZOR][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[Event Service / Indtry][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\spted.dll><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[ADProt / ADProt][Running/Boot Start]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[iMSPCLOj / iMSPCLOj][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iMSPCLOj.sys><N/A>
[khsercqi / khsercqi][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\khsercqi.sys><N/A>
[oreans32 / oreans32][Running/System Start]
<\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
————————————————————————————————————
再重启电脑,观察C:\WINDOWS\SYSTEM32\WBEM文件夹里到底什么情况下出现不明文件。
天月来了 - 2008-1-19 16:31:00
那C:\WINDOWS\SYSTEM32\WBEM文件夹里不明文件出现时,对照文件创建时间,去看看还有多少个。可以试着暂时转移到到别的文件夹里。
日志里实在看不出什么了。
等处理过还异常的话,再扫日志发来。
可怜滴人 - 2008-1-19 16:49:00
C:\WINDOWS\system32\SYNCOR11.DLL这个把名字改成SYNCOR111.DLL了
C:\WINDOWS\system32\dpsck.dll这个删除重启之后说什么加载失败.拒绝访问C:\WINDOWS\winsmd.exe是重启之后就自动跳出个sinsmd.exe的文件夹里面什么都没
其他我都照做了.重启再看看
© 2000 - 2026 Rising Corp. Ltd.