瑞星卡卡安全论坛

请问我计算机里有个计算机名.exe的进程每个盘里都有一个计算机名.exe的文件夹不知道这是个什么病毒，麻烦各位大佬帮小弟解决一下

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

先按照以下步骤扫描日志上传

点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法：
1、解压缩所下载的"sreng980.rar"压缩包；
2、打开已经解压缩的"SREng980"文件夹，双击运行其中的"我爱新郎.com"；
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”，将日志保存到桌面上；
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。


然后建议楼主将所述的文件打包后传到“可疑文件交流”版

好的，谢谢版主，我一会就上传日志

请问版主，文件打不开啊

连“我爱新郎.com”都打不开？？

那这么做：

重新下载一次。。解压后复制“我爱新郎.com”粘贴到c:\

然后 开始  运行  输入“c:\我爱新郎.com_/safedesktop”

此时会造成桌面暂时只剩背景  没事  将跳出的俩英文提示框全部选择确定后  按照上面给出的步骤扫描日志上传

（注意：上面命令中的“_”表示空格）

版主，按照你说的，我运行了，桌面闪了一下，就什么都没了，桌面还是以前的桌面，你给的压缩包是不是780k?

:kaka8:

不该又出啥玩意了吧。。。

请先找到文件将文件上传看下。。

你要的那个文件，是病毒文件还是你给我发的这个

然后再尝试下  复制粘贴至c:\

运行  c:\我爱新郎.com /escan    然后看看任务栏右下角是否有后台扫描的显示

病毒文件 你所说的“计算机名.exe”

鼠标就闪了一下，右下角没有扫描的进程

是啊，好几台机子都是这样的

将文件打包传了吗？

我先跑跑看下。。

或者你尝试着这么先做下。。

下载以下软件 重起按F8选择进入安全模式  清理一次

并删除各分区根目录下的“计算机名.exe”和"autorun.inf"

然后重起进入系统  重新下载扫描工具后运行下看行不。。

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

谢谢版主，等等我跟你联系，我现在有点其他事，一会忙完了，我找你

好的

谢谢！

http://virus.vnet.cn/service/technology/RS_RavDetect.htm

另外建议楼主在有空时  照这个网页里的方法下载软件扫描日志后以附件形式上传

版主，我用听诊器没发现病毒，我现在把日志给你传上来，你帮我看看，谢谢了

附件: 桌面.rar

这个文件一打开它就指向我的文档

活动进程
c:\windows\system\wincirl.com
c:\windows\system32\msvbvm60.dll

c:\windows\system32\svch0st.exe
c:\windows\system32\msvbvm60.dll

c:\docume~1\admini~1\locals~1\temp\rar$ex00.688\www-b2b5c969cac.exe
c:\windows\system32\msvbvm60.dll

普通自启动项
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft agent = c:\windows\system32\svch0st.exe

其它启动项
win.ini
load = c:\windows/system/wincirl.com

system.ini
shell = explorer.exe c:\windows/system32/svch0st.exe

winlogon 启动项
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell = explorer.exe c:\windows/system32/svch0st.exe

这些都是不明的东西。
需要删除下面文件：
c:\windows\system\wincirl.com
c:\windows\system32\svch0st.exe
c:\docume~1\admini~1\locals~1\temp\rar$ex00.688\www-b2b5c969cac.exe

如果你认识，可以不删除。

c:\docume~1\admini~1\locals~1\temp\rar$ex00.688\www-b2b5c969cac.exe
这个文件好像就是病毒文件，其他哪两个不知道是什么东西，怎么删除呢？

注意：
这个c:\windows\system32\svch0st.exe

实际那个svch0st.exe中的0是数字0

并不是字母O

看清楚了。

1.用XDelBox勾选抑制再生后删除文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


不知道XD能用不。。

恩，这个我注意到了，怎么删除呢，是在安全模式下直接删除？这3个文件？注册表不用管吗？

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
c:\windows\system\wincirl.com
c:\windows\system32\svch0st.exe
c:\docume~1\admini~1\locals~1\temp\rar$ex00.688\www-b2b5c969cac.exe

然后重启电脑。

[quote] 原帖由 天月来了 于 2008-5-27 11:29:00 发表
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

这个网页打不开

http://bbs.ikaka.com/showtopic-8442813.aspx

这贴6楼附件下载


操作删除完，并重启电脑以后，估计就可以扫描SRENG日志了。
那SRENG工具就可以启动了。

谢谢，我试试去，麻烦两位了

怎没音信了:default1:

不好意思中午下班了，我刚才用你给的那个程序把病毒文件删除了，现在就是一重启就会弹出几个对话框，写的是无法找到文件c:\windows\system\wincirl.com和svch0st.exe这个怎么解决呢？