异常注册表项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [N/A]
<SHAProc><C:\WINDOWS\SHAProc.exe> [N/A]
异常服务:
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
<"E:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><N/A>
[MSISservers / Windows Installerc][Stopped/Auto Start]
<C:\WINDOWS\system32\glc><Globallink>
异常驱动程序:
[msskye / msskye][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\DRIVERS\msaclue.sys><N/A>
异常浏览器加载项:
[]
{9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
异常文件:
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\system32\glc
C:\WINDOWS\system32\DRIVERS\msaclue.sys
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
从这里可以看出,WINRAR压缩工具可能已被感染:
[PID: 1212 / new][C:\Program Files\WinRAR\WinRAR.exe] [N/A, ]
[C:\Program Files\WinRAR\Formats\7z.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\ace.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\arj.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\bz2.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\cab.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\gz.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\iso.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\lzh.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\tar.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\uue.fmt] [N/A, ]
[C:\Program Files\WinRAR\Formats\z.fmt] [N/A, ]
下面这个服务项目表示瑞星的E:\PROGRAM FILES\RISING\RAV\Ravmond.exe这个文件已经无法被系统识别且其对应的服务已被停止,估计瑞星杀软某些文件已经被病毒感染:
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
<"E:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><N/A>
分析可能是中了特定文件感染类病毒(可能是logogogo.exe这个DD),建议格式化C盘重装系统解决,重装系统后,不要运行非系统驱动器下的任何文件,直接在WINDOWS下格式化所有非系统驱动器,重装应用软件。
重装系统前不要再用杀软杀毒了,因为杀软可能已经被病毒感染,运行杀软可能会释放病毒而不是杀毒。
以上为个人意见。
