瑞星卡卡安全论坛

昨天本来要下一个英语听力软件…搜索到一个地址…下下来结果是个setup.exe的文件…感觉名字不正常…但一想有杀毒软件就没怕…没想到双击之后…它自动安装PPlive…系统显示系统文件被替换…我用的KAV 7.0安全套装也杀不掉它…系统时间被改…总之一片狼藉……卡巴完全失效……附件里是迅雷下载那个文件的文件信息……里面有病毒下载地址……请高手看看……

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)


附件: 1037884200849135544.txt

建议：
先用工具清理下系统 然后扫描完整SRE日志报告

清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

下载Sreng，解压缩运行

1.先把不相关的软件关闭（比如QQ 浏览器 播放软件之类...）
2.智能扫描(记得勾上数字签名选项）=》扫描=》保存报告
3.把日志SREngLOG.log中的报告完整复制粘贴上来，[全选(Ctrl+a) >>复制(Ctrl+c) >>粘贴(Ctrl+v)] 上来或者粘贴到记事本中以附件形式上传上来

SRE下载地址
http://www.kztechs.com/sreng/sreng928.zip
友情提示:如果下载后不能运行请删除已下载的,然后重新下载.下载后首先不要运行先将下载的SREng.exe重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者abc.exe运行

补上扫描报告：



附件: 1037884200849144142.txt

【回复“秋叶濛濛”的帖子】

报告放上面附件里了！谢谢……

日志没看出什么

你现在还是有异常吗？？？

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]

[40157 / 40157][Running/]
  <2 - 系统找不到指定的文件。
><N/A>
CHM  Error. ["hh.exe" %1]
INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
[XUploadFiles Control]
  {18B9E4BF-F21F-46B9-AD50-5CA62145426A} <C:\WINDOWS\DOWNLO~1\XUPLOA~1.OCX, www.blue999.com>



另外，1：平时要把卡巴自我保护的3个项勾上，设妥当的卡巴密码。
      2：清除所有的coogies及上网临时文件，有些一般情况下清不掉的，要用安全模式加冰刀及重启计算机，即使是些临时文件。
      3，SREng报告并非万能，它看不到的冬冬多了去。故还要加以别的工具。

【回复“天月来了”的帖子】

桌面图标的文字背景成了蓝色……自己感觉C盘的system32文件夹里有不正常的.exe 文件（比如66.exe  setup.exe) ^里面还有两个文件名为蓝色的文件夹：“DRVSTORE” 和 “dllcache”我菜鸟不懂为什么……

附上卡巴的报告：

附件: 1037884200849151013.txt

引用:

【交流电的贴子】附上卡巴的报告： ………………

卡巴说得过去这么清楚，还不会？
重启计算机，按f8键进入安全模式，按其所指，删除那些文件，重启计算机，再扫描---------再如此操作，直到干净为止。

【回复“两个铁球”的帖子】

谢谢！！你引用那一段报告的意思是……？

【回复“两个铁球”的帖子】

安全模式进不去……黑屏等好久没反应……也许是机子太破……

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip


删除：
C:\WINDOWS\SYSTEM32\633.EXE
C:\WINDOWS\system32\myself.exe
C:\WINDOWS\system\skaspf080407.exe

再去看看这个文件到底是什么？？删到回收站去看看。
C:\WINDOWS\system32\Setup.exe

引用:

【交流电的贴子】【回复“两个铁球”的帖子】 谢谢！！你引用那一段报告的意思是……？ ………………

意识是：1，修复那2个错误的文件关联（表明erro的项，就用SREng的相关功能；2另外的好像不正常，你自己费神查清、弄正常；另外，你怀疑的几个exe文件，可试删掉，如果系统表现有什么负反应，就把它们从回收站回复回来。没负反应，则永删之。

手工杀毒就这么简单：面生的就杀无赦，杀错了再从回收站改回来。
因此，偶从不学习、记忆什么具体地什么病毒名和杀除法！

引用:

【交流电的贴子】【回复“两个铁球”的帖子】 安全模式进不去……黑屏等好久没反应……也许是机子太破…… ………………

这是有一类病毒有这种刻意不让你进入安全模式的功能。用冰刀或他们现在热用得着个什么box工具，或者别的工具。看看别的帖。我自己不记、不用那些玩意儿。

谢谢大家………………

卡巴的防御能力不是怎么好！楼主可以尝试换个杀软查杀一下！