【求助】每次开机都有病毒，救救我吧！救救我的EXE文件吧！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】每次开机都有病毒，救救我吧！救救我的EXE文件吧！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【求助】每次开机都有病毒，救救我吧！救救我的EXE文件吧！

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:10 \| 只看楼主短消息资料字号：小中大 1楼【求助】每次开机都有病毒，救救我吧！救救我的EXE文件吧！症状： 1、每次开机用最新的瑞星（现在是18.48.11）杀毒都有病毒，附杀毒日志。 2、大部分文件夹下会生成一个隐藏的‘_desktop.ini’文件，手工删除干净再用瑞星的流行病毒专杀工具‘VirusKiller.scr’、‘橙色八月专用提取清除工具.com’杀毒后（有时会发现并杀掉病毒），下次开机以后过一段时间这个现象又会重复。 3、有一些应用程序的图标会改变，文件的大小会变大，例如WinRAR.exe、TTPlayer.exe，而且这些程序有些不能运行，运行它们之后没反应还会生成一个有两个后缀的文件，例如‘WinRAR.exe.exe’，但这个有两个后缀的文件的大小和图标跟新安装的一样，它可以正常运行。卸掉重新安装，下次开机以后过一段时间这个现象又会重复。 4、有时机子象死机一样持续约一分钟左右，关机时间有时很久，有时也很快。 5、格式化C盘，从新安装另一版本的XP系统症状还是一样。救命阿！各位大师傅。 2006-10-11 00:13:33
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	分享到：

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:12 \| 只看楼主短消息资料字号：小中大 2楼杀毒日志：病毒名称处理结果发现日期扫描方式路径文件病毒来源 Trojan.PSW.Lineage.ltt 清除成功 2006-10-10 16:31 手动扫描 rundll32.exe>>C:\WINDOWS\command\rundll32.exe 本机 Trojan.PSW.Lineage.lty 清除成功 2006-10-10 16:31 手动扫描 rundll32.exe>>C:\WINDOWS\inf\rundll32.exe 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:32 手动扫描 C:\WINDOWS\system32 jxdll.dll 本机 Trojan.PSW.ZhengTu.no 重新启动计算机后删除文件2006-10-10 16:32 手动扫描 C:\WINDOWS\system32 myztr.dll 本机 Trojan.PSW.WoWar.oi 删除成功 2006-10-10 16:32 手动扫描 C:\WINDOWS\system32 mywow.dll 本机 Trojan.PSW.Lineage.lte 重新启动计算机后删除文件2006-10-10 16:32 手动扫描 C:\WINDOWS\system32 tdll.dll 本机 Trojan.PSW.WoWar.oc 删除成功 2006-10-10 16:32 手动扫描 C:\WINDOWS\system32 Launcher.exe>>NsPack 本机 Trojan.PSW.FodOnline.h 删除成功 2006-10-10 16:32 手动扫描 C:\WINDOWS\system32 agetltfes.exe 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:32 手动扫描 C:\WINDOWS\inf rundll32.exe 本机 Trojan.PSW.FodOnline.h 删除成功 2006-10-10 16:33 手动扫描 C:\WINDOWS 5Sy.exe 本机 Trojan.PSW.Lineage.ltt 删除成功 2006-10-10 16:33 手动扫描 C:\WINDOWS 0Sy.exe 本机 Trojan.PSW.Lineage.ltt 删除成功 2006-10-10 16:33 手动扫描 C:\WINDOWS\command
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:13 \| 只看楼主短消息资料字号：小中大 3楼 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:33 手动扫描 C:\WINDOWS 4Sy.exe 本机 Trojan.PSW.FodOnline.h 删除成功 2006-10-10 16:33 手动扫描 C:\Documents and Settings\lanjiang\Local Settings\Temp 855122171 本机 Trojan.PSW.FodOnline.h 删除成功 2006-10-10 16:34 手动扫描 C:\Documents and Settings\lanjiang\Local Settings\Temporary Internet Files\Content.IE5\POQISCUS maaa6[1].exe 本机 Trojan.PSW.Lineage.ltt 删除成功 2006-10-10 16:34 手动扫描 C:\Documents and Settings\lanjiang\Local Settings\Temporary Internet Files\Content.IE5\F2PKQ2X3 maaa1[1].exe 本机 Trojan.PSW.WoWar.oc 删除成功 2006-10-10 16:34 手动扫描 C:\Documents and Settings\lanjiang\Local Settings\Temporary Internet Files\Content.IE5\F2PKQ2X3 maaa3[1].exe>>NsPack 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:34 手动扫描 C:\Documents and Settings\lanjiang\Local Settings\Temporary Internet Files\Content.IE5\F2PKQ2X3 maaa5[1].exe 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0001685.dll 本机 Trojan.PSW.Lineage.lte 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0001686.dll 本机 Trojan.PSW.ZhengTu.no 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0001687.dll 本机 Trojan.PSW.Lineage.lte 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002685.dll 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002686.dll 本机 Trojan.PSW.ZhengTu.no 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002687.dll 本机 Trojan.PSW.WoWar.oi 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002832.dll 本机 Trojan.PSW.WoWar.oc 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002833.exe>>NsPack 本机 Trojan.PSW.FodOnline.h 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002834.exe 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002835.exe 本机 Trojan.PSW.FodOnline.h 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002836.exe 本机 Trojan.PSW.Lineage.ltt 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002837.exe 本机 Trojan.PSW.Lineage.ltt 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002838.exe 本机 Trojan.PSW.Lineage.lty 删除成功 2006-10-10 16:35 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002839.exe 本机 Trojan.PSW.ZhengTu.no 重新启动计算机后删除文件2006-10-10 16:48 手动扫描 C:\WINDOWS\system32 myztr.dll
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:13 \| 只看楼主短消息资料字号：小中大 4楼 Trojan.PSW.ZhengTu.no 删除成功 2006-10-10 16:49 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002841.DLL 本机 Trojan.PSW.Lineage.lte 删除成功 2006-10-10 16:49 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002842.DLL 本机 Trojan.PSW.ZhengTu.no 删除成功 2006-10-10 17:10 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0002852.dll 本机 Trojan.PSW.ZhengTu.no 重新启动计算机后删除文件2006-10-10 17:27 手动扫描 C:\WINDOWS\system32 myztr.dll 本机 Trojan.PSW.ZhengTu.no 删除成功 2006-10-10 17:48 手动扫描 C:\System Volume Information\_restore{D25A2D5F-57F4-4C2B-A2C9-6E94B8A8BDE8}\RP6 A0003892.dll 本机 Trojan.PSW.ZhengTu.no 重新启动计算机后删除文件2006-10-10 18:11 手动扫描 C:\WINDOWS\system32 myztr.dll 本机
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:13 \| 只看楼主短消息资料字号：小中大 5楼 HijackThis_815汉化版扫描日志 V1.99.1 保存于 18:07:28, 日期 2006-10-10 操作系统： Windows XP (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 (6.00.2600.0000) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe d:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe d:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\Explorer.EXE D:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\System32\ctfmon.exe D:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\spoolsv.exe d:\Program Files\Rising\Rav\RavStub.exe C:\WINDOWS\System32\nvsvc32.exe H:\一些工具\HijackThis 1.99.1 汉化版\HijackThis1991zww.exe O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - H:\一些工具\珊瑚虫\QQ\AddToNetDisk.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - H:\一些工具\珊瑚虫\QQ\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - H:\一些工具\珊瑚虫\QQ\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - H:\一些工具\珊瑚虫\QQ\SendMMS.htm O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - 列举现有的协议: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: ipp - (no CLSID) - (no file) O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - 列举现有的协议: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列举现有的协议: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file) O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll O18 - 列举现有的协议: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\System32\msvidctl.dll O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - 列举现有的协议: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx O18 - 列举现有的协议: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-10-10 19:20 \| 短消息资料字号：小中大 6楼关闭系统还原，清理IE临时文件夹，在控制面板，internet选项里
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-10-10 19:21 \| 短消息资料字号：小中大 7楼日志看不出什么了
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:23 \| 只看楼主短消息资料字号：小中大 8楼有一些应用程序的图标会改变，文件的大小会变大，例如WinRAR.exe、TTPlayer.exe，而且这些程序有些不能运行，运行它们之后没反应还会生成一个有两个后缀的文件，例如‘WinRAR.exe.exe’，但这个有两个后缀的文件的大小和图标跟新安装的一样，它可以正常运行。卸掉重新安装，下次开机以后过一段时间这个现象又会重复。清理IE临时文件夹,这个现象也能治得好么? 有一些驱动程序保存在硬盘里很久了,也遭到毒手... 我哭......
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-10-10 19:29 \| 短消息资料字号：小中大 9楼听描述感觉像中威金了，而且很严重，但日志里没看到，下专杀试试吧
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:	发表于： 2006-10-10 19:34 \| 只看楼主短消息资料字号：小中大 10楼用瑞星的流行病毒专杀工具‘VirusKiller.scr’、‘橙色八月专用提取清除工具.com’杀毒后（有时会发现并杀掉病毒），下次开机以后过一段时间这个现象又会重复。
KS0074 初生襁褓狮帖子:10 注册: 2006-10-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT