12   1  /  2  页   跳转

[求助] 中毒了,瑞星不能杀

中毒了,瑞星不能杀

system32 文件夹下自动生成 数字为名称的exe文件,瑞星不能查杀,但是判断该程序有高危险行为。望高手给点解决办法。这些程序能够删除,但是又会自动生成

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复:中毒了,瑞星不能杀

使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序 。
一切皆有可能。
2011常见问题请参考:
http://www.ikaka.com.cn/csc_faq/index.shtml
gototop
 

回复:中毒了,瑞星不能杀

光删除是删除不掉的,因为有另外的文件或者进程在监视他们,你的任务管理器里有带数字名字的exe在运行吗?
最好能提供截图,并按照要求上传日志
另外建议你用卡卡安全助手试试看~
天地间那一抹不灭的流光 即我
gototop
 

回复:中毒了,瑞星不能杀

该用户帖子内容已被屏蔽
gototop
 

回复:中毒了,瑞星不能杀

发扫描日志 或截图
gototop
 

回复:中毒了,瑞星不能杀

system32文件夹是病毒非常喜欢停留的地方,根据楼主的描述,那个数字名称的exe文件不是病毒母体,而是病毒的衍生物,只删掉衍生物是没有用的,因为病毒母体会不停的释放衍生物。
请楼主将那个文件打包上传,并且按楼上提供的办法扫描sre日志以便找到病毒母体。
感染不是你的错
不能修复就是你的不对了
遇到问题请附截图和sreng日志
gototop
 

回复: 中毒了,瑞星不能杀

建议查找并结束病毒进程,若结束后仍然自动启动,建议使用冰刃找出此进程终止并强行删除文件
XDELLBOX或者超级巡警暴力删除工具删除
手动删除该注册表键值
删除后重新启动计算机
==========================================
以上内容属个人见解,不代表卡卡论坛观点
gototop
 

回复: 中毒了,瑞星不能杀

扫描文件请大家看看东东

附件附件:

文件名:SREngLOG.txt
下载次数:198
文件类型:text/plain
文件大小:
上传时间:2010-2-22 13:47:19
描述:txt

附件附件:

文件名:未命名.jpg
下载次数:373
文件类型:image/pjpeg
文件大小:
上传时间:2010-2-22 13:53:36
描述:jpg



最后编辑flso 最后编辑于 2010-02-22 13:53:36
gototop
 

回复:中毒了,瑞星不能杀

干掉它即可

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\Program Files\Avira\AntiVir Desktop\svchost.exe>  []

你输入法正常么???
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 中毒了,瑞星不能杀

1、使用XDELLBOX超级巡警暴力删除工具删除如下文件
C:\Program Files\Avira\AntiVir Desktop\svchost.exe
2、利用SRENG修改注册表启动项如下
双击<ctfmon.exe><C:\Program Files\Avira\AntiVir Desktop\svchost.exe>  []将值清空并修改为C:\WINDOWS\system32\ctfmon.exe
复制过去即可
并使用正常CTFMON替换C:\WINDOWS\SYSTEM32下的ctfmon.exe以及C:\WINDOWS\SYSTEM32\dllcache下的ctfmon.exe

正常的ctfmon.exe我已上传,从此贴下载的http://bbs.ikaka.com/showtopic-8417665.aspx

3、对于截图中的 数字.exe您可以利用XDELLBOX或超级巡警暴力删除工具删除

附件附件:

文件名:ctfmon.rar
下载次数:166
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-22 14:20:05
描述:rar

gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT