(可能原题目不妥,没将问题讲清)
电脑上网染毒,发现以下现象:
1、 用最新版瑞星软件查杀,只发现一个病毒,名称为Trojan.PSW.Lmir.lxq。清除成功。重启后再杀,反复出现。染毒文件名均为C:\windows\system32\svchost.exe,反复杀之不尽。
2、 用kaka助手发现有流氓软件和不良插件,清除后再没发现。
3、 每次开机后瑞星监控先打开后被自动关闭。经导入旧的注册表文件(不能全部导入),此现象消除,瑞星监控已可正常打开。
4、 之后文件监控曾自动发现C:\program files\internet explorer\plugins\systemkb.sys有Trojan.PSW.QQpass.rmx活动,显示删除成功。
5、 用瑞星注册表修复工具,发现三个启动项
(1) y3iw,当前值为C:\windows\crasos.exe。
(2) ezhx2efys,当前值为c:\windows\svch0st.exe,位置为HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\run
(3) 5e98vzjk,当前值为c:\windows\iexpl0re.exe,位置为HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\run
尝试在注册表中删除,但册除不了。经导入旧的注册表后已清除y3iw项,清除此项后瑞星监控才不再被自动关闭。另两项仍然删除不了,也修改不了。只好先用瑞星注册表修复工具的“注册表启动项”将这两项前的小勾去掉。
(还有一项ctfmon.exe,当前值为c:\windows\system32\ctfmon.exe,也是修改不了,也只好先用瑞星注册表修复工具的“注册表启动项”将这项前的小勾去掉)。
crasos.exe、svch0st.exe、iexpl0re.exe及所有带有crasos、svch0st、iexpl0re的文件均已被删除,搜索不再发现这些文件。
6、 上网时瑞星提示有winb.exe、winc.exe、wind.exe、wine.exe、winf.exe(都是c:\windows\temp目录)请求与外界交换信息,均禁止了。下网搜索没发现这些文件(可能是我用了痕迹清理)。
7、 做完以上这些,重启后再杀毒结果依旧。只发现一个病毒,名称为Trojan.PSW.Lmir.lxq。清除成功。重启后再杀,反复出现。染毒文件名均为C:\windows\system32\svchost.exe,反复杀之不尽。
用瑞星网站提供的Hijack This软件扫描,得到结果如下(可能有些我上面没提到的真正有害的项目):
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Rising\Rav\RsLogVw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\regclean.exe
E:\瑞星升级\新建文件夹 (2)\HijackThis1991zww.exe
O3 - IE工具栏增项: 卡卡上网安全助手 - { } - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [RfwMain] "c:\program files\rising\rfw\rfwmain.exe" -startup
O4 - 启动项HKLM\\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - 启动项HKLM\\Run: [runeip] C:\Program Files\Rising\KakaToolBar\runiep.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD 启动加速器.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O23 - NT 服务: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
——请问瑞星高手,该如何处理才能彻底消除病毒和各种隐患?恳请帮助。
谢谢!
