瑞星卡卡安全论坛
haixinshi - 2008-1-28 9:53:00
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE、C:\WINDOWS\SYSTEM32\WGATRAY.EXE隐藏进程操作未知程序C:\WINDOWS\SYSTEM32\WPA.DBL不断的要修改系统内核怎么办啊,请大虾们指点一下,谢谢!
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)附件:
738712200812894144.txt
lqqk7 - 2008-1-28 11:36:00
日志看着似乎挺正常,这个是不是你自己装的系统美化主题?
c:\program files\logonui\royale.exe
haixinshi - 2008-1-28 13:42:00
【回复“lqqk7”的帖子】
lqqk7:你好,c:\program files\logonui\royale.exe
这个是用GHOST光盘安装系统的时候就带有的的,叫什么番茄花园吧。C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE、C:\WINDOWS\SYSTEM32\WGATRAY.EXE隐藏进程操作未知程序C:\WINDOWS\SYSTEM32\WPA.DBL这些是前几天发现的程序,还删除不掉,老是要修改内核,我搜索了一下说C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE这个是病毒木马之类的,但是没有说明删除的方法
lqqk7 - 2008-1-28 14:17:00
日志中没看出问题,你用winrar看看能不能找到这些文件。
haixinshi - 2008-1-28 16:42:00
| 引用: |
【lqqk7的贴子】日志中没看出问题,你用winrar看看能不能找到这些文件。
……………… |
怎么用啊,有没有相关帖的链接让我看看啊
天月来了 - 2008-1-28 16:49:00
| 引用: |
【haixinshi的贴子】
怎么用啊,有没有相关帖的链接让我看看啊
……………… |
看看
附件:
8390772008128163818.jpg
天月来了 - 2008-1-28 16:55:00
遭遇500
看来不顶,楼主不知道回贴了。
lqqk7 - 2008-1-28 17:04:00
还是天月写的详细,lz情况如何了,方便的话反馈一下!
haixinshi - 2008-1-28 20:57:00
【回复“天月来了”的帖子】
【回复“天月来了”的帖子】
天月来了:不好意思 刚才走开了。感谢你的指点,那些文件倒是可以找的到,我看了属性说是WINDOWS的文件来的,不过抓的图在写字板上没法弄上来。你是怎么抓图上来的啊?
lqqk7:你那有这两个文件的么?刚才杀软又提示他们要修改程序了
天月来了 - 2008-1-28 21:37:00
你只能删除C:\WINDOWS\SYSTEM32\WGATRAY.EXE
另两个千万别动。千万别动啊。
至于抓图,是先用Windows系统自身的画图工具,编辑好另存为 .jpg 文件以附件形式发来的。
你可以点击我这贴右下角的“引用”就知道怎么以附件形式发来了。
WGATRAY.EXE是WindowsXP的激活验证,可能你打了那个什么补丁的。
我记不得了,你自己去百度就知道了。
幸福雪儿 - 2008-1-28 21:39:00
用QQ也可以截图啊
haixinshi - 2008-1-28 21:46:00
【回复“天月来了”的帖子】
嘿嘿,C:\WINDOWS\SYSTEM32\WPA.DBL这个我倒是删除过,到时重启后又有了,
"WGATRAY.EXE是WindowsXP的激活验证”,这个没事了我这好像是可以通过验证的,
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE,不是说WMIPRVSE.EXE只有在C:\WINDOWS\SYSTEM32目录下才是系统文件么,隔了隔WBEM目录听说是病毒啊
haixinshi - 2008-1-28 21:47:00
【回复“幸福雪儿”的帖子】
恩 以前我都是用QQ抓到聊天对话框里才保存的,这两天病毒闹的没敢上去
天月来了 - 2008-1-28 22:00:00
WMIPRVSE.EXE必须在C:\WINDOWS\SYSTEM32\WBEM\目录里。
如果跑别的地方,就有问题。
haixinshi - 2008-1-28 22:08:00
【回复“天月来了”的帖子】
恩,明白了,对了WINDOWS清理助手好用还是优化大师好用啊
对了,要是那两个程序要修改内核什么的,我是该拒绝还是放行啊?
天月来了 - 2008-1-28 22:42:00
两个软件功能不一样。
不能拿来比较。
至于那两个程序要修改内核,随便你选择了。
因该没问题的。
可以放行后观察一段时间。
haixinshi - 2008-1-28 22:45:00
明白了,多谢,天月.....
幸福雪儿 - 2008-1-28 23:02:00
你问题解决拉
haixinshi - 2008-1-29 11:18:00
....昨晚用WINDOWS助手清理了几个木马之后,桌面都变了...
附件:
7387122008129110658.jpg
haixinshi - 2008-1-29 11:19:00
以前只有点击桌面图标时,图标的名字那里才显示出蓝色的底色,现在 全时蓝色的底色了....
附件是新扫描的SRENG日志,那位大虾经过帮我看看,不胜感激
附件:
7387122008129110949.txt
天月来了 - 2008-1-29 11:21:00
在“我的电脑”右键属性里,在“高级”选项卡中的“性能”框中点“设置”按钮,在“视觉效果”页中将“在桌面上为图标标签使用阴影”前面的方框打上钩。
还有参考的:
桌面空白处右键,排列图标,取消"在桌面上锁定WEB项目"的小勾,就可以了.
桌面右键-属性-桌面-自定义桌面-Web-删掉除“当前主页”外的文件你看看这样可以不 ?
haixinshi - 2008-1-29 11:28:00
多谢,天月,图标换回来了,它怎么会自动变的呢。昨天后来都不能正常关机了都。注销也不能用,就是待机、切换用户可以使用。不过我RESET之后自检完了之后 又正常了,正常之后,我又注销了一次,后来桌面都加载不上,我在任务管理器那里运行EXPLORER.EXE都加载不成功,后来我再注销,变成了锁定用户了,最后还是再RESET一次才正常的,就是图标变了而已。
天月来了 - 2008-1-29 11:56:00
C:\WINDOWS\SYSTEM32\WPA.DBL这文件被你删除一次后,就会出这些异常。
有办法还原系统,就还原吧。
没办法还原系统,就找个机会重装系统。
天月来了 - 2008-1-29 11:58:00
C:\WINDOWS\SYSTEM32\WPA.DBL这文件被你删除一次后,就会出这些异常。
有办法还原系统,就还原吧。
没办法还原系统,就找个机会重装系统。
haixinshi - 2008-1-29 12:06:00
....C:\WINDOWS\SYSTEM32\WPA.DBL这个文件重启后自动恢复了啊....
还原是没办法了,历来都是关闭的,那得用GHOST备份来安装了,不过,这样一来得有好几年的更新要安装,并且还得找一个通过验证的转换程序,太麻烦了 还是凑活着用吧
多谢了^_^
1
© 2000 - 2026 Rising Corp. Ltd.