瑞星卡卡安全论坛

中毒了.进程里面有个qoq.exe的.被我用卡卡助手强行阻止了进程以后任务管理器也打不开 ..开机杀毒里面有2个启动项还是什么是病毒.也杀不掉..语言栏也不见了..
请高手帮帮我啊..谢谢了



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 5273322008315141629.txt

高手们帮帮忙啊

在任务管理器中终止下面进程后，再去删除其文件
==================================
正在运行的进程
[PID: 1052][C:\WINDOWS\SoundMan.exe]  [N/A, ]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Loader.exe]
    <IFEO[360Loader.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
    <IFEO[ctfmon.exe]><SoundMan.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword]
    <IFEO[IceSword]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras]
    <IFEO[ras]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep]
    <IFEO[runiep]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[GJ / GJ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\new\LOCALS~1\Temp\tmpD.tmp><N/A>
————————————————————————————————————
下面这个服务项不认识，你自己认真看看。
==================================
服务
[Security Control / secctrl][Stopped/Auto Start]
  <c:\windows\system32\rundll32.exe vmvreg32.dll,scan><Microsoft Corporation>
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

这里 下 载 W i n d o w s 清理助手，清理你那系统。
http://www.arswp.com/

记得打打系统漏洞补丁

清空IE缓存，清空临时文件夹。

如果任务管理器打不开，可以将任务管理器复制出来，再改名打开。

或者在瑞星防火墙里终止这个进程。
[PID: 1052][C:\WINDOWS\SoundMan.exe] [N/A, ]

或者在瑞星的主动防御里禁止C:\WINDOWS\SoundMan.exe的访问、启动、读取、。然后用瑞星粉碎它。