1   1  /  1  页   跳转

[求助] 帮忙看一下我的扫描记录

收藏
dreadknightcs
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-07-11
  • 来自:
发表于: 2008-07-11 19:05 | 只看楼主 短消息 资料
字号: 1楼

帮忙看一下我的扫描记录

这2天用瑞星杀出这2个病毒:Dropper.win32.explorerdl.b和win32.explorerdl.f。当时好象是因为无法清除病毒所以把染毒文件删了.后来开机Explorer.exe就无法自启动了,每次都要手动创建.但我发现在windows里没有explorer.system32里居然有.后来又用瑞星杀了几次没有任何问题.下面是我的扫描,希望高手帮忙分析一下.

附件: SREngLOG.log (2008-7-11 19:04:52, 31.94 K)
该附件被下载次数 89



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; Maxthon; .NET CLR 2.0.50727)
分享到:
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2008-07-11 19:26 | 短消息 资料
字号: 2楼

回复:帮忙看一下我的扫描记录

没有问题的,可以放心了
gototop
 
dreadknightcs
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-07-11
  • 来自:
发表于: 2008-07-11 19:31 | 只看楼主 短消息 资料
字号: 3楼

回复:帮忙看一下我的扫描记录

哦,谢谢啊.但是我看有人说explorer.exe 这个应该是在WINDOWS下的,只有病毒或者木马才伪装后隐藏在SYSTEM32里的.我现在explorer.exe就是在system32里.这是怎么回事呢?另外如果没有问题我怎么恢复他的自启动?
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2008-07-11 22:42 | 短消息 资料
字号: 4楼

回复:帮忙看一下我的扫描记录

嗯,把USERINIT.EXE, 右边的去掉
注意要留着逗号

删掉那个SYSTEM32下的EXPLORER.EXE
gototop
 
dreadknightcs
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-07-11
  • 来自:
发表于: 2008-07-12 00:33 | 只看楼主 短消息 资料
字号: 5楼

回复:帮忙看一下我的扫描记录

我看了下注册表,USERINIT.EXE,右边没有任何东西,一切正常.另外SYSTEM32下的EXPLORER.EXE删不掉,但我觉得不象病毒,因为可以看到正规的版本号.专门杀了下也没反映.
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2008-07-12 00:36 | 短消息 资料
字号: 6楼

回复:帮忙看一下我的扫描记录

日志无异常

e文件并没有问题
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2008-07-13 13:16 | 短消息 资料
字号: 7楼

回复: 帮忙看一下我的扫描记录

为什么SYSTEM32目录下会有EXPLORER.EXE?
gototop
 
pehi
头像
飘泊而立狮
  • 帖子:593
  • 注册: 2008-07-05
  • 来自:GZ
发表于: 2008-07-13 14:05 | 短消息 资料
字号: 8楼

回复:帮忙看一下我的扫描记录

去百度发解了一下EXPLORER.EXE... 出现在SYSTEM32真的很神奇....
进程名称: explorer 或者 explorer.exe

所在路径: (系统安装目录盘)C:\windows\explorer.exe
进程全称: Microsoft Windows Explorer
中文名称: 微软windows资源管理器

描述:
Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录,否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。

出品者: Microsoft Corp.
属于: Microsoft Windows Operating System

系统进程: 是
后台程序: 否
使用网络: 是
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
Is everybody going crazy??
http://www.antidu.cn/upfiles/xdelbox1.7.rar-->XdelBOX下载!
在线杀毒http://www.antidu.cn/board/online/
gototop
 
pehi
头像
飘泊而立狮
  • 帖子:593
  • 注册: 2008-07-05
  • 来自:GZ
发表于: 2008-07-13 14:07 | 短消息 资料
字号: 9楼

回复:帮忙看一下我的扫描记录

explorer.exe
  常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
  explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。


EXPLORER.EXE
File size: 36,864
File type: 应用程序
File path:%system32%及移动介质的根目录
File MD5: 1EB40158DDEE938B5E40AF9E66C3E1B7
wsctf.exe
File size: 24,576
File type: 应用程序
File path:%system32%及移动介质的根目录
File MD5: CBDCF0AB0561540891A3E466147A4CE4

======================================================
如果杀完毒,修理完注册表,开机仍然不自动运行explorer.exe,但可以用任务管理器打开

你可以用搜索命令,搜索C盘.或者在C:\windows这个文件夹下搜索.

一般来说能搜索到explorer.exe这个文件,还可能有几个带"$"符号的恢复信息.
那么不要管带"$"符号的.
打开explorer.exe这个文件所在文件夹,找到它.

对它进行杀毒扫描.

如果无毒,那么它现在应该不在C:\windows这个文件夹内.

剪切,并把它放如C:\windows这个文件夹内.

再在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
将其值改为"Explorer.exe".如果没有shell这一项,请手动创建它在赋值.
如果已经有,请删除,并重新创建后赋值.

这样开机就又会自动运行explorer.exe了
最后编辑pehi 最后编辑于 2008-07-13 14:08:59
Is everybody going crazy??
http://www.antidu.cn/upfiles/xdelbox1.7.rar-->XdelBOX下载!
在线杀毒http://www.antidu.cn/board/online/
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT