瑞星卡卡安全论坛

今天开机后发现进程里面有俩个名字一模一样的explorer进程！我搜索了以后只能找到其中1个explorer的路径（路径是C:\WINDOWS目录下）但是我用ewido分析后，俩个的名字就有变化了
1个是 explorer.exe 路径在C:\WINDOWS\system32\dllcache目录下 
窗口项显示 progrm manager

另1个是Explorer.EXE 路径是 C:\WINDOWS目录下
窗口项无显示内容

我看了2个文件的日期都是06年！我就不知道哪个是病毒了！查也查不出来
开机后还回弹出窗口叫我使用 脱机工作
我扫了日志！大家帮忙看看！我在线等

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )


附件: 707744200828125207.txt

我也是这样

你怎么有2个入口点错误，好象有点问题。。。

删除C:\WINDOWS\system32\dllcache目录下的
然后打开注册表.搜索一下.搜索不到定位到..哎呀很麻烦的.你自己去复制吧.删除自启动项和恢复原来项的值

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\dllcache\explorer.exe
c:\program files\internet explorer\plugins\nvsys_55.sys
c:\windows\system32\ylxvjuesg.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[ylxvjuesg]    <ylxvjuesg.exe>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>


替换c:\windows\下的explorer.exe文件

我也是这样

引用:

【侠者秋水的贴子】1.建议使用XDelBox删除以下文件：(XDelBox1.6下载) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 c:\windows\system32\dllcache\explorer.exe c:\program files\internet explorer\plugins\nvsys_55.sys c:\windows\system32\ylxvjuesg.exe 2.删除重启后使用SREng修复下面各项：     启动项目 －－ 注册表之如下项删除： [ylxvjuesg]    <ylxvjuesg.exe>     系统修复－－　浏览器加载项之如下项删除： []    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys> []    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys> 替换c:\windows\下的explorer.exe文件 ………………

这位？？？？？？？

你要楼主删除这个干什么？？？？？？？？

c:\windows\system32\dllcache\explorer.exe

这个是系统备份文件里正常的桌面程序文件

而c:\windows\explorer.exe这个才是被病毒替换的文件。

关于机器狗的，可以看看置顶那里的专杀和版主的贴

很容易就可以处理的。

千万不要乱折腾。

谢谢各位拉！！！还好没删！
中了后QQ也上不了！
还是打电话给同学叫他看看cache这个文件夹下面有没有EX文件！还真有！所以我就没删！叫他发了3个和EX的相关文件我全部覆盖了！

引用:

【A阿肚A的贴子】谢谢各位拉！！！还好没删！ 中了后QQ也上不了！ 还是打电话给同学叫他看看cache这个文件夹下面有没有EX文件！还真有！所以我就没删！叫他发了3个和EX的相关文件我全部覆盖了！ ………………

覆盖是正确的

我的机子也一样

    大侠能否告诉我具体的操作步骤

谢谢！
  谢谢！
    谢谢！

引用:

【天月来了的贴子】 引用: 【侠者秋水的贴子】1.建议使用XDelBox删除以下文件：(XDelBox1.6下载) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 c:\windows\system32\dllcache\explorer.exe c:\program files\internet explorer\plugins\nvsys_55.sys c:\windows\system32\ylxvjuesg.exe 2.删除重启后使用SREng修复下面各项：     启动项目 －－ 注册表之如下项删除： [ylxvjuesg]    <ylxvjuesg.exe>     系统修复－－　浏览器加载项之如下项删除： []    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys> []    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys> 替换c:\windows\下的explorer.exe文件 ……………… 这位？？？？？？？ 你要楼主删除这个干什么？？？？？？？？ c:\windows\system32\dllcache\explorer.exe 这个是系统备份文件里正常的桌面程序文件 而c:\windows\explorer.exe这个才是被病毒替换的文件。 关于机器狗的，可以看看置顶那里的专杀和版主的贴 很容易就可以处理的。 千万不要乱折腾。 ………………

我是怕c:\windows\system32\dllcache\explorer.exe这个也被感染

引用:

【侠者秋水的贴子】 我是怕c:\windows\system32\dllcache\explorer.exe这个也被感染 ………………

这得看整个SRENG日志的“启动项”变化和“正在运行的进程”部分的变化来一起判断。

从SRENG日志这项看：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  []
可以看出系统Windows文件夹里的那个系统启动必须加载的桌面程序Explorer.exe以没有微软的东西了。

然后再看进程里： 
==================================
正在运行的进程
[PID: 1784 / 3K][C:\WINDOWS\Explorer.EXE]  [N/A, ]
[PID: 1924 / 3K][C:\WINDOWS\system32\dllcache\explorer.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
 
可以看出两个Explorer.exe进程，其中PID: 1784进程虽然还是加载的C:\WINDOWS\Explorer.EXE文件，但是只是病毒替换了的文件，它不能完全担负起原本的桌面进程得所有工作，所以制毒者让其启动C:\WINDOWS\system32\dllcache\explorer.exe这个桌面备份文件来代替原C:\WINDOWS\Explorer.EXE文件启动真正的桌面，可惜这方法仍然不能解决桌面异常的现象，所以中毒者会很快发现电脑异常。而到处求助。

机器狗这玩意也真是动了不少脑筋变来变去的。

呵呵！！！！

哪天它不再需要调用C:\WINDOWS\system32\dllcache\explorer.exe这个桌面备份文件以后，可就更狠了，那时很多人被盗走什么重要东西后，还不一定能发现呢。

引用:

【秦山汉谷的贴子】我的机子也一样     大侠能否告诉我具体的操作步骤 谢谢！   谢谢！     谢谢！ ………………

就是下载没被感染的EX相关文件！
！EX文件有3个，相关文件有1个，不过覆盖的时候要注意你下载的文件在你电脑里面是要覆盖哪一个！不要张冠李戴了！！要对号入坐，最好是在安全模式下进行。
当你在F8下进行替换EX文件事系统会提示你不能替换，这时要在任务管理器里面结束当前的EX任务，然后你会看见桌面不见了？要怎么换？不要急！任务管理器不是还开着嘛？点上面的 “文件”选“新键任务—浏览“这样就可以替换了！完了后重起进入正常模式！
有条件的话就手动清理下注册表！把垃圾键值都干掉！OK！