使用XDELBOX删除你告诉的文件时,出现UNABLE TO CREATE DIRECTORY 请问是怎么回事, bbs.ikaka.com

快乐飞儿 - 2008-6-21 9:49:00

我的电脑中了backdoor.win32.agent.zwr病毒 c:\program files\internet exploret\iexplore.exe(中毒文件名及路径,情况是上网会经常断线,QQ也如此

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS)

附件: SREngLOG.log

天月来了 - 2008-6-21 10:39:00

无法创建目录

这玩意要释放文件，可能你的什么防御规则或杀毒软件的监控阻止了它的运行。

还有系统盘不在C盘的。都不能用的。

天月来了 - 2008-6-21 10:40:00

日志是6月14日的

没用的

要最新的。

快乐飞儿 - 2008-6-21 11:05:00

是这样的,我下载的SRENG运行时,是小日告诉我把系统改为6月14日的..上面那个是我昨晚扫描的,今天在公司上网的.我的系统盘在C盘.可能是我安装的MCAFEE FREESCAN(麦咖啡杀毒软件)有关吗

天月来了 - 2008-6-21 11:24:00

都不认识，自己一去看吧。你好象在哪发过一贴？？
==================================
服务
[bechcl / bechcl][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k bechcl-->%SystemRoot%\System32\uqbtsf.dll><N/A>

[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\BITSEx.dll><@ Microsoft Corporation. All rights reserved.>

[Task Card / Dutification][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k Dutification-->%SystemRoot%\System32\mwbahc.dll><N/A>

[Eventy-Lors / EventyLors][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\wint.dll><N/A>

[Microsoftpvsy / Microsoftpvsy][Stopped/Auto Start]
<C:\WINDOWS\DOVA><N/A>

==================================
正在运行的进程
[c:\windows\system32\bitxxx.dll] [@ Microsoft Corporation. All rights reserved., 5.1.2600.2180]
[E:\新建文件夹\scriptcl.dll] [N/A, ]

快乐飞儿 - 2008-6-21 13:14:00

天月呀,看一下吧,还是使用XDELBOX删除你告诉的上面文件时,出现UNABLE TO CREATE DIRECTORY ,我把瑞星监控都关了还不行,又刚扫了看一吧

快乐飞儿 - 2008-6-21 13:15:00

刚扫的

附件: SREngLOG.log

天月来了 - 2008-6-21 14:39:00

谁告诉你用XDELBOX删了？？？
你得自己看那些到底是什么呀！！！！！！

如果确实不认识

在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找那些项，将启动类型改为“Disabled”

快乐飞儿 - 2008-6-21 15:56:00

服务
[bechcl / bechcl][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k bechcl-->%SystemRoot%\System32\uqbtsf.dll><N/A>

[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\BITSEx.dll><@ Microsoft Corporation. All rights reserved.>

[Task Card / Dutification][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k Dutification-->%SystemRoot%\System32\mwbahc.dll><N/A>

[Eventy-Lors / EventyLors][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\wint.dll><N/A>

[Microsoftpvsy / Microsoftpvsy][Stopped/Auto Start]
<C:\WINDOWS\DOVA><N/A>
以上的东东按照你的找法，我在里面都看到了，请问我该怎么做才能删除病毒

快乐飞儿 - 2008-6-21 16:05:00

上面的只最后一个在服务动态链接库没有(DOVA),其它在映像文件路径和服务动态链接库都有显示

天月来了 - 2008-6-21 16:11:00

在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找那些项，将启动类型改为“Disabled”

我回贴里的那句话，你到底看见没有？

快乐飞儿 - 2008-6-21 16:22:00

天月帮忙看一下吗,我真不知怎么办:default2: :default2:

快乐飞儿 - 2008-6-21 16:24:00

我找了,也改了,上面都有

天月来了 - 2008-6-21 16:26:00

什么叫我找了、也改了、上面都有

都有什么呢？？？

重启电脑结果怎样啊？？？

快乐飞儿 - 2008-6-21 16:28:00

关健我想知道怎样杀了那个毒呀,我真得一点不懂,望版主能详细说一下过程,我知道有很多人都在等你解决问题,在这只能万分感谢了,

天月来了 - 2008-6-21 16:33:00

哪个毒？？？

你现在重启电脑，还全盘杀出毒？？？

快乐飞儿 - 2008-6-21 16:38:00

我重启电脑后,还出现那个病毒瑞星显示清除成功(backdoor.win32.agent.zwr) 路径 c:\program files\internet explorer \iexplore.zxe

快乐飞儿 - 2008-6-21 16:39:00

不好意思是路径 c:\program files\internet explorer \iexplore.exe

快乐飞儿 - 2008-6-21 16:42:00

版主真的感谢,遇到我这种电脑文盲浪费了你不少脑细胞,不过我学到了不少东西.向你致敬

天月来了 - 2008-6-21 16:47:00

日志再新的来看看

杀毒历史记录导出后，压缩发来看

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

快乐飞儿 - 2008-6-21 16:57:00

上传了

附件: 历史记录.rar

附件: SREngLOG.log

天月来了 - 2008-6-21 17:09:00

象喂饭一样慢慢的指给你做。唉......................

—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项，将启动类型改为“Disabled”
==================================
服务
[bechcl / bechcl][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k bechcl-->%SystemRoot%\System32\uqbtsf.dll><N/A>

[Background Intelligent Transfer Service / BITS][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\BITSEx.dll><N/A>

[Task Card / Dutification][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k Dutification-->%SystemRoot%\System32\mwbahc.dll><N/A>

[Eventy-Lors / EventyLors][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\wint.dll><N/A>

[Microsoftpvsy / Microsoftpvsy][Stopped/Auto Start]
<C:\WINDOWS\DOVA><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[IESuper]
{1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IESuper\iesuper.dll, N/A>
[IESuper]
{1A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IESuper\iesuper.dll, N/A>
————————————————————————————————————————
它怎么在那里运行起来了？？？
==================================
正在运行的进程
[PID: 2960 / USER][C:\DOCUME~1\USER\LOCALS~1\Temp\RtkBtMnt.exe] [Realtek Semiconductor Corp., 1.0.0.5]
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件升级至最新版本全盘杀。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

瑞星卡卡安全论坛