附件: SREngLOG.rar (2008-5-13 21:39:29, 9.54 K)
该附件被下载次数 134

这两天发现网速奇慢,有时候根本打不开网页.还经常掉线.不经意的发现连接显示上行字节达到8000W以上.而下行字节才400W..用瑞星查杀没反映.多方查找或在防火墙访问规则当中发现了360tay.exe.再不断向网络发送大量数据包.影响了带宽.显示文件路径是C:\windows\system32\360tay.exe. 可我在文件夹下找不到这个文件.我在防火墙中禁止该文件访问网络后网速正常.不知道这个东西是什么玩意?那位高手老兄给帮忙看看啊.

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

估计是冒充360系统托盘程序文件名的病毒，正常360该进程为360tray.exe，且路径也不在c:\windows\system32目录下。建议：

SREng下载地址：http://www.kztechs.com/sreng/sreng980.zip
提示：可以右键点击上述链接，选择“保存为...”方式下载。
操作方法：
1、下载后解压缩，运行SREngLdr.EXE；
2、如果无法打开尝试把SREngLdr.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

老兄.我传上来了...主要表现为网络占用大量上行带宽..导致带宽完全被占用.无法打开任何网页...

发表于 2008-5-7 19:01  资料  个人空间  短消息  加为好友 
警惕360tay.exe文件


今天上网时，网络忽然很卡，cpu占用率达到100%，网络应用达到10%，并且无法显示受保护的隐藏文件，起初并未发现可疑服务以及可疑进程。直到发现了有个叫360tay.exe的系统进程（有别于360tray.exe的用户进程）。用sreng2查看服务，同样显示是360安全卫士服务，不同的是该服务的映像文件路径是c:\windows\system32\360tay.exe。。使用360安全卫士查看进程未发现该进程和其他非安全进程。而任务管理器可以看到该进程。结束该进程，并且删除该服务，系统一切恢复正常。

恢复后在百度和google上面搜索360tay.exe，分别显示：

抱歉，没有找到与“360tay.exe” 相关的网页。

百度建议您： 看看输入的文字是否有误
            去掉可能不必要的字词，如“的”、“什么”等
            阅读帮助
            立即发表留言创建“360tay.exe吧”

google:

您是不是要找： 360tray.exe 


没有一个标准网页中包含了您所输入的所有搜索字词。

找不到和您的查询 "360tay.exe" 相符的网页。

建议： 请检查输入字词有无错误。
      请换用另外的查询字词。
      请改用较常见的字词。




<本贴转自360安全论坛>              刚在百度上找的..你也参考下...

C:\WINDOWS\NoreChcer
C:\WINDOWS\system32\360tay.exe
C:\WINDOWS\system32\autoip\autoip.exe
以上3个文件用WINRAR压缩成压缩包，作为附件分别传上来，然后：
先下载工具：
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.7支持奥运版。
windows清理助手下载：http://www.arswp.com/download.html
清理临时文件工具ATF-Cleaner-cn下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用前一定拔掉所有移动存储设备，将下面红色文件列表内容完整复制，然后打开XDelBox，在“待删除文件列表”下方空白框处右键，选择“剪贴板导入不检查路径”，勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
C:\WINDOWS\NoreChcer
C:\WINDOWS\system32\TesSafe.sys
C:\Program Files\IGALIVE\IGALIVE.sys
C:\WINDOWS\system32\360tay.exe
C:\WINDOWS\system32\autoip\autoip.exe
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
进入注册表编辑器，删除如下注册表值项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <autoip><C:\WINDOWS\system32\autoip\autoip.exe>  []
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【服务】-【WIN32服务应用程序】，将以下项删除：
[360安全防护软件 / 360Tay]
[Media Nohoere / Media Nohoere]
———————————————————————————————————————
打开SREngldr.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[IGALIVE / IGALIVE]
[TesSafe / TesSafe]
———————————————————————————————————————
重启电脑，运行“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
杀毒软件升级最新版，断网后全盘查杀病毒。
———————————————————————————————————————
最后运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理；不能确定的，把图发上来。
注：蓝色项目我不确定，请自行查阅是否正常，如正常则不要操作！

小浩病毒作者的新作，提请大家防范，是基于DDOS攻击的……

http://bbs.360safe.com/viewthread.php?tid=499670

您是网吧用户么？

谢谢老兄了.我明天一早就弄..现在要上班..来不及了..谢谢了

不是..我是个人用户