c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！

大阿波罗真爱初生襁褓狮帖子:5 注册: 2008-11-26 来自:	发表于： 2008-11-26 15:36 \| 只看楼主短消息资料字号：小中大 1楼 c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！首先是看了个论文网，想找篇文章，然后瑞星监控和卡卡就被关闭了，并且无法再次运行，重启也不行。然后自动安装funshion、酷狗等软件，主页被改成www.3929.cn?tn=1027152，（别点，肯定是毒）。开机后有个类似QQ系统消息的喇叭闪动，打开后说中奖。我的电脑、任务管理器、瑞星、卡卡都打不开了，双击后鼠标还是箭头，没反应。 c、d、e、f4个盘都有auto.exe和autorun.inf这2个文件，删了一遍，又出来，并且无法显示隐藏文件了。我打算重装系统，可是重装只能解决C盘，def怎么办还不知道，所以没有冒然行动。请教各位老大怎样能完整地解决这一系列问题？顺便发个牢骚，以后都不敢上网了，看个论文都中毒用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
大阿波罗真爱初生襁褓狮帖子:5 注册: 2008-11-26 来自:	分享到：

左眼球锋芒艾服狮帖子:1313 注册: 2008-03-03 来自:左眼眶子里	发表于： 2008-11-26 15:37 \| 短消息资料字号：小中大 2楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！下载windows清理助手，用它清理一下。如果还有问题下载SREng 下载之后解压缩，运行SREngLdr.EXE；（如果不能运行，可以尝试改名为123.com）点击“智能扫描”，勾选所有扫描项，勾选“检查进程模块的数字签名”；然后点击“扫描”；等待扫描完成，点击“保存报告”；将保存的日志文件SREnglog.log作为附件上传到论坛；精品软件、实用工具大杂烩（20091221更新到61款） Windows清理助手
左眼球锋芒艾服狮帖子:1313 注册: 2008-03-03 来自:左眼眶子里

大阿波罗真爱初生襁褓狮帖子:5 注册: 2008-11-26 来自:	发表于： 2008-11-26 16:36 \| 只看楼主短消息资料字号：小中大 3楼回复: c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！附件: SREngLOG.log (2008-11-26 16:35:44, 87.53 K) 该附件被下载次数 177 大哥上边是附件帮我看看能解决吗？我电脑现在几乎无法运行了我想问问如果重装系统那么d:e:f:里边的auto也能一起解决吗？还是说病毒会死灰复燃？如果重装能解决的话我就去装了因为我重装一次要好几个小时我怕晚上工作学习和睡觉
大阿波罗真爱初生襁褓狮帖子:5 注册: 2008-11-26 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-26 16:53 \| 短消息资料字号：小中大 4楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！ auto.exe这个文件一定要设法复制并压缩后发来
天月来了版主帖子:76904 注册: 2007-02-06 来自:

lichun005 初生襁褓狮帖子:64 注册: 2008-10-11 来自:King爱好者	发表于： 2008-11-26 17:05 \| 短消息资料字号：小中大 5楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！ OMG,又是蝗虫，楼主的盘符里没看到auto 先修复ifeo。去金山下载蝗虫专杀，再用你的瑞星杀毒日志就不看了，现在杀软都能杀出大部分的 C:\WINDOWS\system32\ctfmon.exe也很可疑，如不嫌麻烦也可以上传检测下 lichun005 最后编辑于 2008-11-26 17:36:24
lichun005 初生襁褓狮帖子:64 注册: 2008-10-11 来自:King爱好者

大阿波罗真爱初生襁褓狮帖子:5 注册: 2008-11-26 来自:	发表于： 2008-11-26 17:21 \| 只看楼主短消息资料字号：小中大 6楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！开机后右下角有个类似QQ的喇叭闪动，打开后是这个网页 http://www.5azz.com/jmsd/test.asp?cpid=2388&interid=333 罪魁祸首肯定就是他楼上说的ctfmon确实有问题，因为防火墙还能用，总能看见这个文件请求访问网络。我给拒绝了。我的瑞星现在打不开了，用蝗虫专杀后就可以打开了吗？不然的话怎么杀毒？
大阿波罗真爱初生襁褓狮帖子:5 注册: 2008-11-26 来自:

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2008-11-26 17:22 \| 短消息资料字号：小中大 7楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！磁碟机可以重装但麻烦把C盘重要的东西放到别的盘重装后下载个杀毒软件安装到C盘（千万别开别的盘！) 杀完毒后把别的盘一个一个的格式化（重要文件先放到C：\）
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-26 17:26 \| 短消息资料字号：小中大 8楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！需要下面几个文件，你用解压工具WinRAR依路径打开找他们，复制压缩发来。 C:\WINDOWS\system32\vmdetdhc.exe C:\WINDOWS\qq02.exe C:\WINDOWS\system\llwzjy081126.exe C:\WINDOWS\system32\srsvc.dll C:\WINDOWS\system32\wiaservc.dll C:\WINDOWS\system32\w32time.dll C:\0525fb001293857f.dat C:\42e305548873889f.dat C:\cd33ab0c0ae1cfc2.dat C:\d16736b4a3b98f97.dat C:\WINDOWS\system32\drivers\HBKernel32.sys C:\WINDOWS\system32\drivers\aqcicd.sys C:\WINDOWS\system32\drivers\mlyou.ahc C:\WINDOWS\system32\drivers\nquxad.sys C:\WINDOWS\system32\NsPass0.sys C:\WINDOWS\system32\NsPass1.sys C:\WINDOWS\system32\NsPass2.sys C:\WINDOWS\system32\NsPass3.sys C:\WINDOWS\system32\NsPass4.sys C:\WINDOWS\system32\Nskhelper2.sys c:\I0.SYS C:\WINDOWS\system32\csrss.dll C:\WINDOWS\system32\sh18024.dll C:\WINDOWS\system32\HBASKTAO.dll C:\WINDOWS\system32\drivers\clipsru_1.sys C:\WINDOWS\system32\drivers\clipsru_2.sys C:\WINDOWS\system\mvjaj32dla.dll
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-26 17:29 \| 短消息资料字号：小中大 9楼回复：c:、d:、e:、f:全都有auto.exe和autorun.inf，被改了许多内容，急！！从下面各项可以看到，你系统重要文件被病毒恶意替换。启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Infected) Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [Microsoft Corporation] ================================== 服务 [DCOM Server Process Launcher / DcomLaunch][Running/Auto Start] <C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A> [Remote Procedure Call (RPC) / RpcSs][Running/Auto Start] <C:\WINDOWS\system32\svchost -k rpcss-->c:\windows\system32\rpcss.dll><N/A> [System Restore Service / srservice][Running/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A> [Windows Image Acquisition (WIA) / stisvc][Running/Auto Start] <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A> [Windows Time / W32Time][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-26 17:30 \| 短消息资料字号：小中大 10楼回复 7F 夲號ヱ被ジ盜的帖子他这木马群的病毒和磁碟机有什么关系？？？
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT