瑞星卡卡安全论坛

又和机子较了一晚上的真儿，情况如下：

1、发现机子运行奇慢，打开任务管理器，发现N个名为运行中；

2、结束所有该程序运行；

3、20.47.02安全模式杀毒：无毒

4、卡卡，无垃圾程序

5、清理助手：清理恶意程序1个Trojan.PSW....，清除完毕要求重启

6、晕，界面停到“正在关闭”不动了！只有手动重启

7、重启后输入法没有了，点语言高级里面的显示输入法，呈灰色，无法点击，网上查了一下，删除了ctfmon.exe,重启，输入法恢复正常；

8、ntvdm.exe的程序依然运行，联网查了一下，说：新建记事本，保存为ntvdm.exe覆盖原文件即可，照做；

9、重启计算机，卡卡打不开了，注册表程序打不开了，任务管理器打不开了，瑞星杀毒程序可以，无毒；

10、运行宝贝的清理助手：9个恶意程序，包含之前的Trojan.PSW....，还有几个类似文件名的，还有一个名为“任务管理器被劫持”，点清理，清理掉了，重启；

10、再重启后弹出，点关闭，看了自动更新，很早前就已经关闭了，运行任意程序它就不断弹出来，放那不管就没什么影响...

11、目前最大的副作用：老爸看了就着急，不敢用机子，提心吊胆的不断叨叨....还6：00就跑下去给我买早饭...只要求我把它去掉，让机子恢复正常....





怎么办啊诸位师傅....我从4：00弄到现在了.....请你们帮帮忙吧....

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法：
1、解压缩所下载的"sreng980.rar"压缩包；
2、打开已经解压缩的"SREng980"文件夹，双击运行其中的"我爱新郎.com"；
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”，将日志保存到桌面上；
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

我爱新郎？以后有一定会的，呵呵:default15:
谢谢新郎啊
日志上传：

附件: SREngLOG.log (2008-6-3 15:38:14, 34.70 K)
该附件被下载次数 260

(早上7点半左右停电了，刚才来电，上传晚了些，实在不好意思)

————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[fdaazw / fdaazw][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\fdaazw><N/A>

[jkgdab / jkgdab][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\jkgdab><N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，
————————————————————————————————————
再重启电脑，
升级杀毒软件至最新版本全盘杀毒。

如果那个还那样，可能系统不稳定了，那就帮不了你了

:default46: :default46: :default46: :default46: :default46:

还是跳出来哦.....555555555555..............怎么办啊........难道真的要妥协么......55555555......................

你关闭电脑的自动更新看看~~

右键我的电脑--属性---自动更新--关闭自动更新~~！

用360或者瑞星防火墙打系统补丁

一..点我的电脑--属性---自动更新那个标签，属性窗口就死了....

注销系统，说net.exe无法结束，点立即结束...连续跳了3次

注销后重新操作，属性窗口又定住了，之前总是弹出来的那个窗口，“c:windows\system32\wuauclt.exe”变成“c:windows\system32\net.exe”

点关闭连续关掉3次，不弹了，“c:windows\system32\wuauclt.exe”的窗口也没再弹

重启以后又弹出来了.......:default46:

看错了

你再扫个最新日志来看看

:default46: 天月.......你们太好了.....


最新的日志在这里

附件: SREngLOG.log (2008-6-3 18:34:13, 32.26 K)
该附件被下载次数 208

你试试彻底卸载瑞星软件，并断网，尽量进安全模式下。
用解压工具WinRAR依路径打开C:\Documents and Settings\jj\Local Settings\Temp文件夹，删除你能删除的所有东西。
不能删除的也别问，再观察一下系统怎样。
还不行，就重装系统吧。
靠日志已经难以帮你了

唉...谢谢....

等等
将c:windows\system32\net.exe和c:windows\system32\wuauclt.exe这两文件发来看看

可能这两文件被病毒替换了。

:default46: 谢谢天月......我难受死了....5555...现在除了那个破窗口仍然跳出来以外，.视频网站也一个接一个打不开了，先是56，然后是6房间，然后现在酷6也开始不正常了（我安装了论坛的flash安装包）

无论能不能弄好，你一直没有放弃我的问题，真得让我很感动...谢谢...

我把这几天总出问题的几个文件都打包了:

附件: net.rar (2008-6-4 22:50:51, 288.16 K)
该附件被下载次数 152

其中的ntvdm.exe文件，开机后都会自动运行好几个，系统就会变得很慢，通过任务管理器可以关掉，又一次只有一个ntvdm.exe文件运行，但CPU的使用却一下子提到100%，什么都打不开了，关闭后恢复正常

还有最新的日志：

附件: SREngLOG.log (2008-6-4 23:01:31, 30.38 K)
该附件被下载次数 162

无论怎样都感谢你们！

去C:\WINDOWS\system32\dllcache文件夹里找wuauclt.exe文件，复制到C:\WINDOWS\system32文件夹里替换。
或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8501837.aspx
http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束wuauclt.exe进程。如果没进程就直接替换。

我只能为你解决这问题了。

至于其他的，先替换完再看吧。

这个C:\WINDOWS\system32文件夹里wuauclt.exe已不是系统自身的文件了。

:default46: 天月！！天月！！！好了啦！！！！我就知道相信你们没错的！我就知道我们会赢的！！呜呜呜呜呜！！我真是太开心了！谢谢！谢谢！！:default46: :default46: :default46:

我电脑也出了同样的问题，现在已解决，谢谢天月:default58: :default58: :default54: