瑞星卡卡安全论坛

发现多了几个进程，CPU使用常到100%。求

附件: rslog22.txt (2008-5-1 16:04:45, 62.11 K)
该附件被下载次数 130

大侠们帮忙看看

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html
———————————————————————————————————————
然后使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

SREngLOG.log日志文件见附件。wscript.exe进程会刷成fc.exe，attrib.exe等别的别的进程，请帮忙看看还有什么问题

附件: SREngLOG.log

用冰刃强制删除各分区下的wscript.exe、win.vbe文件

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsmydpm.dll,ieprot.dll>  [N/A]

用SRE修复<AppInit_DLLs>  将值编辑为<ieprot.dll>

D:\WINDOWS\system32\mp3infp.dll 将这个文件上传检测

http://www.virscan.org 
（国内网站，拥有36款杀毒软件引擎） 
http://www.virustotal.com/zh-cn/ 
（国外网站，拥有32款杀毒软件引擎）

然后建议用杀软全盘杀后

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

:default5: 能不能告诉我中得是什么毒？还有你说的方法我有的不会，请帮忙说清楚点方法。谢谢

个分区上的autorun.inf  也别忘了  漏掉说了 

算U盘病毒吧  不过还加载了个脚本病毒。。。

冰刃下载地址：http://www.onlinedown.net/soft/53325.htm

至于<AppInit_DLLs> 的修复操作步骤：

运行SRE （就是你扫描日志的那个工具） 依次点击启动项目-注册表-找到“AppInit_DLLs”并选中-点下面的“编辑”-然后把 值 的那一行改成ieprot.dll 即把前面的 rsmydpm.dll,  删除后确定就好

然后利用杀毒软件将你上面说的生成的文件删除  并利用那些工具清理一次系统

[img]file:///D:/Documents%20and%20Settings/Administrator/My%20Documents/新建文件夹/未命名.bmp[/img]这些文件全用冰刃删除吗？

恩  冰刃应该就可以解决这些文件了。。。

win.vbe，autorun.inf 用冰刃也强制删也删除不了:default8:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsmydpm.dll,ieprot.dll>
Applnit_DLLs有二项数据rsmydpm.dll和ieprot.dll也修改不了:default8:

重起按F8 到安全模式里去试下

救命呀，安全模式打不开:default3:
把mp3infp.dll这个文件上传给你们看看

附件: mp3infp.rar

用瑞星安检查到：病毒库升级时间是2008-1-16，但我点软件升级又说我用的是最新版本。怎么回事？？？？
重装了瑞星升级到最新还是杀不到毒:default3:

重装算了。。。我一直用GHOST，虽然用正版瑞星，支持国产嘛
但是还是留一手，防止系统崩了。。。

不想重装，三四年都没重装过

Antivirus Version Last Update Result
AhnLab-V3 2008.5.2.1 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 -
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.02 -
AVG 7.5.0.516 2008.05.01 -
BitDefender 7.2 2008.05.02 -
CAT-QuickHeal 9.50 2008.05.01 -
ClamAV 0.92.1 2008.05.02 -
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5752 2008.05.02 -
Ewido 4.0 2008.05.01 -
F-Prot 4.4.2.54 2008.05.01 -
F-Secure 6.70.13260.0 2008.05.02 -
Fortinet 3.14.0.0 2008.05.01 -
Ikarus T3.1.1.26 2008.05.02 -
Kaspersky 7.0.0.125 2008.05.02 -
McAfee 5285 2008.04.30 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3069 2008.05.01 -
Norman 5.80.02 2008.04.30 -
Panda 9.0.0.4 2008.05.01 -
Prevx1 V2 2008.05.02 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.02 -
Sunbelt 3.0.1097.0 2008.05.01 -



那个文件算了  没有报毒。。。

用SRE修复下安全模式后看看安全模式能否进的去

用SRE修复后安全模式还是进不去:default2: ，鼠标指示一直是漏斗

地址：http://down.7xdown.com/downzh/TonPE_V1.4.rar

安装PE工具箱  进入PE系统 手工删除那些文件和修复[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsmydpm.dll,ieprot.dll>


AppInit_DLLs在系统里用冰刃应该可以修复  不过既然装PE就进去一起弄了

该用户帖子内容已被屏蔽

点击下载雨林木风PE工具  不可用，在别的地方下了个1。5版的不会用
只能还原和备份

这个本身:default4: 就是个恶意代码

按你说的都做了，辛苦你了在这里只能说声谢谢！
我再上传二个附件帮忙看还有什么问题

附件: rslog22.txt

附件: SREngLOG.log

日志看不出什么问题了（个人意见）

谢谢了！:default6: 个人意见我也信的