瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 启动self.bat 如何解决~麻烦"天月来了"看看日志谢了
saimmon - 2008-6-8 5:32:00
这几天开机发现电脑右下脚老是弹出什么文件损坏self.bat 送上日志希望朋友帮忙!谢谢了

现在不定时重复会弹出个框显示16 位 MS-DOS 子系统
c:\windows\system32\wuauclt.exe
NTVDM CPU 遇到无效的指令
CS:0552 IP:010e  OP:8c 35 90 35 94 选择"关闭" 终止应用程序
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14

附件: SREngLOG.log
Prade - 2008-6-8 9:48:00
帮顶,希望高手帮忙看下日志
saimmon - 2008-6-8 19:49:00
请帮忙~谢谢了
saimmon - 2008-6-9 8:52:00
贴子发布两天了~怎么没人帮忙啊...急
saimmon - 2008-6-13 22:40:00
请问如何解决呢~已经5天了仍未找到有效的解决办法:default8:
newcenturymoon - 2008-6-13 22:58:00
打开sreng  启动项目  启动文件夹 删除[self]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\self.bat -->  [File is missing]><N>
saimmon - 2008-6-14 7:45:00
启动文件夹里也删除不了,选择了删除但没反应

现在不定时会弹出个框显示16 位 MS-DOS 子系统
c:\windows\system32\wuauclt.exe
NTVDM CPU 遇到无效的指令
CS:0552 IP:010e  OP:8c 35 90 35 94 选择"关闭" 终止应用程序
saimmon - 2008-6-14 18:21:00
如何解决~谢谢了
DoctorLc - 2008-6-14 18:57:00
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\drivers\oreans32.sys
c:\windows\system32\drivers\lirsgt.sys
c:\windows\system32\drivers\atksgt.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务-- 驱动程序之如下项删除:
[oreans32 / oreans32]    <\??\C:\WINDOWS\system32\drivers\oreans32.sys>
[lirsgt / lirsgt]    <system32\DRIVERS\lirsgt.sys>
[atksgt / atksgt]    <system32\DRIVERS\atksgt.sys>

分析:DoctorLC
时间:2008-6-14
saimmon - 2008-6-16 0:15:00


引用:
原帖由 DoctorLc 于 2008-6-14 18:57:00 发表
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\drivers\oreans32.sys
c:\windows\system32\drivers\lirsgt.sys
c:\windo......


你说的步骤我都做了,但问题仍然没有得到解决开机仍然弹出个16位MS-DOS错误的框,self.bat文件仍然是开机自动运行
但还是谢谢这位朋友

附件: SREngLOG.log
dibei - 2008-6-16 0:29:00
1.建议使用XDelBox删除以下文件:(XDelBox1.7下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\documents and settings\all users\「开始」菜单\程序\启动\self.bat
c:\documents and settings\oo\「开始」菜单\程序\启动\anticrash.lnk
c:\documents and settings\oo\「开始」菜单\程序\启动\hare.lnk
c:\documents and settings\oo\「开始」菜单\程序\启动\zoom.lnk
c:\windows\system32\rqrmavtc.dll
c:\windows\system32\cbsfvtrn.dll
c:\windows\system32\rqoli.dll
c:\windows\system32\tilauley.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 启动文件夹之如下项删除:
[self]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\self.bat>
[AntiCrash]    <C:\Documents and Settings\oo\「开始」菜单\程序\启动\AntiCrash.lnk>
[Hare]    <C:\Documents and Settings\oo\「开始」菜单\程序\启动\Hare.lnk>
[Zoom]    <C:\Documents and Settings\oo\「开始」菜单\程序\启动\Zoom.lnk>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINDOWS\system32\rqrmavtc.dll>
[]    <C:\WINDOWS\system32\cbsfvtrn.dll>
[]    <C:\WINDOWS\system32\rqoli.dll>
[]    <C:\WINDOWS\system32\tilauley.dll>
[]    <C:\WINDOWS\system32\rqoli.dll>

用windows清理助手V2.7清理一下恶意软件
http://www.arswp.com/download/arswp2/arswp2.zip
下载金山清理专家清理一下
http://www.duba.net/qing/
天仁 - 2008-6-16 0:43:00
清掉穿启动项self.bat的小密决
http://bbs.txwm.com/dispbbs.asp?BoardID=190&ID=818780
穿冰点6.30.020.1818的病毒self.bat(附样本)
http://hi.baidu.com/sunsee/blog/item/4c8563a72ea85090d0435826.html
天月来了 - 2008-6-16 8:45:00
因为你是这个系统:
Windows XP Professional Service Pack 3 (Build 2600) - 管理权限用户 - 完整功能

所以你得认真找文件替换了。

————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找wuauclt.exe文件,复制到C:\WINDOWS\system32文件夹里替换。

或者这些贴里找相关文件下载。注意哦,你那系统可是Windows XP Professional Service Pack 3哦。
可别弄错了。弄错了,又要怪我乱建议。

http://bbs.ikaka.com/showtopic-8501837.aspx
http://bbs.ikaka.com/showtopic-8417665.aspx

替换时,可以将病毒替换的文件改个名,然后将找到的正常的系统文件复制到相应文件夹里,不能操作错,要仔细。

替换前先在任务管理器里结束wuauclt.exe进程。没进程就直接替换。
——————————————————————————————————————————
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除:
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\self.bat
C:\WINDOWS\system32\rqoli.dll
C:\WINDOWS\system32\tilauley.dll
C:\WINDOWS\system32\cbsfvtrn.dll
C:\WINDOWS\system32\rqrmavtc.dll

不论删除结果如何继续下面操作。
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {0354F2F1-DA27-4E15-B9DC-95CBCABD0D17} <C:\WINDOWS\system32\rqoli.dll, N/A>
[]
  {349EC9D3-CCEB-4994-BF5D-0F2D32FE2D76} <C:\WINDOWS\system32\tilauley.dll, N/A>
[]
  {CC9F09AF-DB57-4B7F-BEB8-A39A31169346} <C:\WINDOWS\system32\rqoli.dll, N/A>
[]
  {D4F8D1BF-3177-4096-8523-CDECCF0B7592} <C:\WINDOWS\system32\cbsfvtrn.dll, N/A>
[]
  {DCB7B4BB-7C01-4A6D-A4B9-52F5F6525D55} <C:\WINDOWS\system32\rqrmavtc.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

杀毒软件如果有异常,可能需要卸载重装,升级至最新版本全盘杀。

其他任何个人软件的异常,都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx

可惜你自己从13日到现在,一直就只会死看自己的贴,如果你去流行病毒区看置顶贴,应该早就知道怎么弄了。
saimmon - 2008-6-16 10:53:00
self.bat 仍无法删除.....12楼那位朋友的清掉穿启动项self.bat的小密决就是开机启动时按CTRL键,我也试过了无效....
天月来了 - 2008-6-16 11:36:00
那你这样,用瑞星的主动防御禁止启动文件夹里的任何文件的读取、修改、创建、删除等。然后重启电脑再去粉碎那文件。

关于主动防御禁止程序或文件被读取、修改、启动、删除等操作,这里去看看:
http://bbs.ikaka.com/showtopic-8370526.aspx
1
查看完整版本: 启动self.bat 如何解决~麻烦"天月来了"看看日志谢了
© 2000 - 2026 Rising Corp. Ltd.