瑞星卡卡安全论坛

机子现在每个盘符都会出现explorer.exe和autorun.inf文件,删除后,打开每个盘符还会出现explorer.exe和autorun.inf文件,瑞星提示explorer.exe触发了API规则被拒绝,但删不了,怎么解决呢?

【回复“netfash”的帖子】
扫一份完整SRENG日志贴上来看看。
如果SRENG.EXE不能运行，请将SRENG.EXE改名为123.exe运行、扫日志。

具体方法
下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把报告保存后以附件的形式发上来，注意把报告文件的扩展名改成“.txt”

电信用户的话，加我QQ，我远程帮你看看

【回复“sako”的帖子】
如何上传文件啊？
==================================
Winsock 提供者
N/A

==================================
Autorun.inf
[C:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[D:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[E:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[F:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[H:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[I:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[J:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[K:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[L:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 336, C:\PROGRAM FILES\COMMON FILES\VMWARE\VMWARE VIRTUAL IMAGE EDITING\VMOUNT2.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1592, C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1544, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2644, C:\EXPLORER.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2644, C:\EXPLORER.EXE]

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================

引用:

【sako的贴子】具体方法 下载 System Repair Engineer， http://download.kztechs.com/files/sreng2.zip 1 解压缩sreng2.zip 2 运行SREngPS.EXE 3 智能扫描=》扫描=》保存报告 4 把报告保存后以附件的形式发上来，注意把报告文件的扩展名改成“.txt” ………………

附件: 10282212008323123243.txt

explorer.exe打包传上来看看

1.用XDelBox以抑制再生方式删除以下文件：(http://www.dodudou.com/down/index.php 原创软件中的XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\explorer.exe
c:\windows\system32\winlib .dll
c:\program files\internet explorer\plugins\winsys8v.sys
c:\windows\system32\jfrwdh.dll
c:\windows\system32\idnmail.exe
c:\windows\system32\tdffdl.dll
c:\windows\system32\wuauc1t.exe
c:\program files\winpcap\rpcapd.exe
c:\program files\winpcap\rpcapd.ini"
c:\windows\system32\drivers\acpidisk.sys
g:\winio.sys
c:\docume~1\admini~1\locals~1\temp\5.sys
c:\windows\system32\drivers\lgfmkm.sys
c:\windows\system32\drivers\elxk.sys
c:\windows\system32\drivers\e.sys
c:\windows\system32\drivers\axvscsi.sys
c:\windows\system32\drivers\axvbusx.sys
c:\program files\common files\cpush\cpush.dll
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
h:\autorun.inf
i:\autorun.inf
j:\autorun.inf
k:\autorun.inf
l:\autorun.inf
c:\explorer.exe
d:\explorer.exe
e:\explorer.exe
f:\explorer.exe
h:\explorer.exe
i:\explorer.exe
j:\explorer.exe
k:\explorer.exe
l:\explorer.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[IdnMail]   
[{841529CB-7F77-4B99-A895-B5441E0D302F}] 
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] 
[IFEO[360rpt.EXE]] 

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[acpidisk / acpidisk]     
[WINIO / WINIO]           
[Sc Manager / Sc Manager] 
[lgfmkm / lgfmkm]         
[elxk / elxk]             
[e / e]                   
[axvscsi / axvscsi]       
[axvbusx / axvbusx]       

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys>
[CAdLogic Object]    <C:\Program Files\Common Files\CPUSH\cpush.dll>
[CAdLogic Object]    <C:\Program Files\Common Files\CPUSH\cpush.dll>

【回复“豪斯登堡新郎”的帖子】
删除后系统能正常启动么?我现在安全模式已经进不去了

引用:

【newcenturymoon的贴子】explorer.exe打包传上来看看 ………………

附件: 10282212008323145254.rar

【回复“豪斯登堡新郎”的帖子】
2.删除重启后使用SREng修复下面各项：
执行的时候提示操作被取消.现在每个盘里还有explorer.exe，不过显示的时候是显示成文件夹的样子
怎么办呢？
在SReng启动项目时，提示注册表值userinit被修改为非正常值

这应该是 借 艳照门事件传播的一个病毒
IFEO 破坏安全模式 试图结束某些杀毒软件 下载木马等等

如何处理呢?

引用:

【netfash的贴子】【回复“豪斯登堡新郎”的帖子】 2.删除重启后使用SREng修复下面各项： 执行的时候提示操作被取消.现在每个盘里还有explorer.exe，不过显示的时候是显示成文件夹的样子 怎么办呢？ 在SReng启动项目时，提示注册表值userinit被修改为非正常值 ………………

操作被取消，是你没看清SRENG工具的提示，就点了，那是否定加否定的逻辑。

既然explorer.exe显示成文件夹的样子，那可能已被什么工具删除并生成同名文件夹抑制了的。

要不你抓图来看看。