瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 天月不照了,请猫版帮忙!!
魔兽高手 - 2008-7-2 20:28:00
进程里有个叫MMC.EXE的,关不了,还发现了个NTUSER.EXE.
C:\Documents and Settings\Owner\ntuser.dat.LOG
C:\Documents and Settings\Owner\NTUSER.DAT

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: sreng.txt
魔兽高手 - 2008-7-2 21:25:00
有没有人帮我啊?
超级游戏迷 - 2008-7-3 2:24:00
C:\Documents and Settings\Owner\ntuser.dat.LOG
C:\Documents and Settings\Owner\NTUSER.DAT
以上两个文件个人认为是正常的系统文件(注册表相关文件)。

建议将C:\WINDOWS\system32\mmc.exe这个文件压缩,将压缩包上传。

PS:
1、发现你机注册表存在IFEO劫持项;
2、正常的计算机中,C\:WINDOWS\SYSTEM32目录下确实有mmc.exe这个文件,但你日志中显示的这个MMC.EXE有点蹊跷,没有微软的厂商签名。
天月来了 - 2008-7-3 8:56:00
运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=386493

然后重启电脑,观察效果怎样。
魔兽高手 - 2008-7-3 9:35:00
C:\Documents and Settings\Owner\ntuser.dat.LOG
C:\Documents and Settings\Owner\NTUSER.DAT
这2个好象有问题啊,突然要访问网络,被我的天网阻止了,接着天网打不开,我换了天网的文件名才打开的
魔兽高手 - 2008-7-3 9:42:00
还是有映象,杀不了.
魔兽高手 - 2008-7-3 9:42:00
这个是新病毒么?
魔兽高手 - 2008-7-3 9:46:00
无法压缩,被有进程正在使用
魔兽高手 - 2008-7-3 9:52:00
最重要的是冰刃都终止不了MMC.EXE的进程
天月来了 - 2008-7-3 10:13:00
你重新扫描你现在正在无法处理时的日志来。

还有你说:“还是有映象,杀不了.”是什么意思???

我没要杀啊

只是操作删除检测到的映像劫持而已。

你去安全模式下继续:


运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=386493

然后重启电脑,观察效果怎样。
魔兽高手 - 2008-7-3 10:23:00
我删了映象,可没用,重起又有了

附件: sreng.txt
天月来了 - 2008-7-3 10:45:00
冰刃终止不了这个进程吗??

[PID: 644 / SYSTEM][C:\WINDOWS\system32\mmc.exe]  [N/A, ]

如果终止不了,就去安全模式下,试试将mmc.exe改名。

然后用我附件里提供的XPsp2系统中的MMC.exe文件放到C:\WINDOWS\system32文件夹里。

再继续操作一次删除映像劫持

然后重启电脑进正常系统,看情况怎样。

如果恢复正常,请将原来的那个异常MMC.exe文件找来。我看看。

附件: mmc.rar
魔兽高手 - 2008-7-3 11:00:00
映象劫持都没了,至于那个MMC.EXE具体情况是:用冰刃终止完,刷新进程后又出现
天月来了 - 2008-7-3 14:32:00
我说的,你到底做不做???

不做估计就没人能帮你了。
魔兽高手 - 2008-7-3 14:47:00
你要的已经在附件里了,你小心点,那肯定是病毒,因为我刚才照你说的做替换了MMC接果打不开主系统了,只好用副系统,然后又把他替换回去,具体症状为MMC.EXE应用程序出错(N次反复,导致无法开机,占用大量资源),可能是新变种

附件: My Documents.rar
天月来了 - 2008-7-3 14:57:00
你用我那附件替换这个,就没办法进系统了??

这可就无奈了。

我那可正经的是XPsp2系统的呀。

你附件里加另外三个文件干什么???

看了,你那附件里的MMC确实异常。

你怎么替换的呢??

要不这样,你去你自己系统的C:\WINDOWS\system32\dllcache文件夹里找MMC.exe文件。

找到后,还那方法,去替换掉那病毒的试试。

难道病毒恶搞的不只这个文件??

如果病毒恶搞较多的关联文件,就难以帮你恢复了。
魔兽高手 - 2008-7-3 15:04:00
:kaka6: 汗,没有dllcache这个文件夹,C:\WINDOWS\system32里的MMC替换后就死机,重起后还没进如桌面就出错:MMC.EXE应用程序出错,要求终止,点确定后就反复出现,也就再没能进如桌面:kaka6:
魔兽高手 - 2008-7-3 15:05:00
要不我再扫个SRENG你看看?
天月来了 - 2008-7-3 15:10:00
dllcache这个文件夹,你必须显示隐藏文件以及系统文件,你才能看到它。

你想打开它,还可以这样,直接在地址栏输入全路径回车

新日志发来看看也行。
魔兽高手 - 2008-7-3 15:19:00
换过了,DLLCACHE里的没被感染,
你以前见过这中症状么?我是看新闻是感染的..

附件: SREngLOG.log
魔兽高手 - 2008-7-3 15:22:00
实在不行就不管它了,我的电脑里也没什么秘密,还没射象头,最重要的是没有照片,不会有什么XXX门,反正谢谢你了
天月来了 - 2008-7-3 15:58:00
我在这一年多。

你这样的第一次见。

新日志显示,还是那玩意。

至少我没办法了。

等猫给你看吧?碰运气试试。

将你主题修改为,请“猫版帮忙”试试

(老猫可真快,还一转眼就来了:default3: )
baohe - 2008-7-3 16:13:00
C:\WINDOWS\SYSTEM32\MMC.EXE]
E:\SKYNET\FIREWALL\123.EXE
把这两个文件打包发上来。
魔兽高手 - 2008-7-3 16:20:00


引用:
原帖由 baohe 于 2008-7-3 16:13:00 发表
C:\WINDOWS\SYSTEM32\MMC.EXE]
E:\SKYNET\FIREWALL\123.EXE
把这两个文件打包发上来。

E盘的那个是天网,我换了他的名字才打开的,不然打不开...

附件: My Documents.rar
baohe - 2008-7-3 16:53:00
http://bbs.ikaka.com/showtopic-8520319.aspx
1
查看完整版本: 天月不照了,请猫版帮忙!!
© 2000 - 2026 Rising Corp. Ltd.