瑞星卡卡安全论坛

这次不小心中了win32.hzj.aaa这个 顽固病毒，它会造成系统启动无比缓慢，每次会不断变化文件名，如hj1.tmp,qja.tmp等，进入安全模式此病毒仍会启动，通过卡卡助手察看系统进程发现此进程存在于explorer.exe和Ras.exe中，通过各种办法把病毒清除，但是每次启动后又出现，求各位大虾帮小弟一把:default11:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ;  Embedded Web Browser from: http://bsalsa.com/)

扫SRENG日志发这论坛来
下载SRENG2.6版：http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

（同时注意SRENG工具的入口点提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

扫描结果

附件: SREngLOG.log

去这里看看：http://www.360.cn/killer/360compkill.html

病毒路径是什么？发上来看看

C:\WINDOWS\temp
C:\Documents and Settings\ZY\Local Settings\Temp

清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空下列临时文件夹中所有内容：
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
C:\WINDOWS\TEMP

在这temp目录下面有许多随机文件名，如qa1.tmp，dpe.tmp等，大小都是172kb，可以直接删除，但是不一会又出现新的一批类似文件。中毒前卡卡提示有一个coess.exe注入到系统服务，中毒后我在C:\WINDOWS找到这个文件，它属性隐藏加只读，能直接删除，但仍无法清除病毒，不知道这个病毒源程序在哪里，请高手指教！

斑竹，这个病毒在安全模式已经启动了，你说的方法我已经在安全模式试过了，但仍无法清除这个病毒，所以黔驴技穷了:default2:

用SRENG删除这个驱动
[gwiopm / gwiopm][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ZY\LOCALS~1\Temp\Rar$EX06.641\gwiopm.sys><N/A>

日志没看出什么，下面两文件去看看到底正常不正常

C:\WINDOWS\system32\SYNCOR11.DLL
C:\DOCUME~1\ZY\LOCALS~1\Temp\sea1F.tmp

不知道是不是局域网其他电脑影响你

我用瑞星查出来这个病毒名：Win32.Parite.a，好像是一个很恐怖的病毒:default3:

详细病毒文件名和路径

路径竟然是瑞星杀毒软件安装目录下的执行文件，此文件夹下所有exe文件全被感染，晕死~~~~
我后来上网找到一个Win32.Parite.a专杀工具antiparite-en，杀了3遍，最后把瑞星杀毒软件卸载掉才清除病毒，这病毒真太牛了~~~:default3:

我把专杀工具传上来，如果哪位兄弟不幸也中了这个病毒可以试试

附件: antiparite-en.rar

最后谢谢斑竹一路来的关心指导，小弟有问题再来请教！:default5:

还有一个不幸的发现，电脑里所有安全软件全部被破坏:default3: