我的电脑中木马了，杀不掉 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛我的电脑中木马了，杀不掉

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 我的电脑中木马了，杀不掉

本主题由在线技术支持工程师太阳神车于 2008-11-17 12:52:42 执行移动主题操作

niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:	发表于： 2008-11-17 11:53 \| 只看楼主短消息资料字号：小中大 1楼我的电脑中木马了，杀不掉确认是中木马了而且还杀不掉在安全模式下面用清理专家 360木马专杀都不行，杀毒软件打不开上传我的log 请大家帮帮我还有我用清理助手杀不掉的木马记录已上传，请版主看下，注册表里 appInit_DLLS 那个键值已修改，但是镜像劫持的文件用清除工具杀后还有。 vcript32.dll 文件我里边没有。附件: 文件名:新建文本文档 (3).txt 下载次数:177 文件类型:text/plain 文件大小: 上传时间:2008-11-17 17:49:06 描述:txt 附件: 文件名:Result1.txt 下载次数:93 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-17 17:49:06 描述:txt 附件: 文件名:winsysdwn.rar 下载次数:251 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-17 19:57:06 描述:rar niefeng1995 最后编辑于 2008-11-17 19:58:42
niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:	分享到：

zgr稳得起大版主帖子:9006 注册: 2006-05-23 来自:长江嘉陵江接合部	发表于： 2008-11-17 12:20 \| 短消息资料字号：小中大 2楼回复: 我的电脑好像系统文件被替换了引用: 原帖由 niefeng1995 于 2008-11-17 11:53:00 发表我的电脑好像系统文件被替换了昨天的时候系统提示我有系统文件被替换，要我插入安装盘，修复，我没有安装盘就点取消了昨天用的时候还没有事今天开机后，我的电脑打开后一直是搜索状态没有盘符要在地址栏打盘符：才能进入打开网页的时候，输入地址按回车没有反应。现在上网只能从收藏夹里边上了。这个是什么问题，需要用什么覆盖，我电脑上的东西太多，没有办法重装。 [s 可能中招了？去反病毒版块求助去吧 “请让我来帮助你，就像帮助我自己......”
zgr稳得起大版主帖子:9006 注册: 2006-05-23 来自:长江嘉陵江接合部

银色灰烬瑞星客户俱乐部会员帖子:3212 注册: 2004-07-21 来自:	发表于： 2008-11-17 12:52 \| 短消息资料字号：小中大 3楼回复 1F niefeng1995 的帖子使用System Repair Engineer扫描日志，将日志作为附件上传到反病毒/反流氓软件论坛上来。下载页面：http://www.kztechs.com/sreng/download.html 操作方法： 1、下载后解压缩，运行SREngPS.EXE； 2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行； 3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】； 4、选择保存路径，文件名保持默认，直接点击【保存】； 5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中； 6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
银色灰烬瑞星客户俱乐部会员帖子:3212 注册: 2004-07-21 来自:

大将风度叱咤花甲狮帖子:3535 注册: 2007-02-19 来自:织梦天空	发表于： 2008-11-17 14:54 \| 短消息资料字号：小中大 4楼回复：我的电脑好像系统文件被替换了是不是提示你说，Windows保护文件被替换？如果是，那么这样你可以放心！这个是盗版系统破解的，以便美化桌面！如果不是，那么可能中毒，请你用Windows清理助手看看是哪个文件被替换了？
大将风度叱咤花甲狮帖子:3535 注册: 2007-02-19 来自:织梦天空

niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:	发表于： 2008-11-17 17:51 \| 只看楼主短消息资料字号：小中大 5楼回复：我的电脑中木马了，杀不掉清理助手说我的 appInit_DLLS 默认参数被替换
niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:

天月来了版主帖子:76900 注册: 2007-02-06 来自:	发表于： 2008-11-17 18:02 \| 短消息资料字号：小中大 6楼回复：我的电脑中木马了，杀不掉 C:\WINDOWS\system32\winsysdwn.dll文件复制并压缩后发来看，不认识它。 ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。启动项目注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><acdess.dll,xsisco.dll kandawf.dll> [N/A] 就是将 <AppInit_DLLs> 的“值”项编辑置空 ———————————————————————————————————————— 运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。 http://bbs.ikaka.com/attachment.aspx?attachmentid=429561 ————————————————————————————————————— 用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理” 下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126 用W i n d o w s 清理助手，清理你那系统。 W i n d o w s 清理助手下载：http://www.arswp.com/ ———————————————————————————————————— 再重启电脑，反复检查，操作的结果，杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。记得打打系统漏洞补丁 SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx
天月来了版主帖子:76900 注册: 2007-02-06 来自:

niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:	发表于： 2008-11-17 18:57 \| 只看楼主短消息资料字号：小中大 7楼回复：我的电脑中木马了，杀不掉 dll 文件怎么发？贴到 txt里边么》
niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-11-17 19:13 \| 短消息资料字号：小中大 8楼回复: 我的电脑中木马了，杀不掉日志中异常项目如下： ============================= 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><acdess.dll,xsisco.dll kandawf.dll> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe] <IFEO[360safe.exe]><svchost.exe> ………………(此处省略一堆病毒添加的IFEO项)…… [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.exe] <IFEO[_AVPM.exe]><svchost.exe> 服务 [Security Control / seiuctol][Stopped/Auto Start] <c:\windows\system32\rundll32.exe vcript32.dll,test><Microsoft Corporation> [Task Scheduler / Schedule][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%systemroot%\system32\winsysdwn.dll><N/A> [System Restore Service / srservice][Running/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%systemroot%\system32\winsysdwn.dll><N/A> [Windows Image Acquisition (WIA) / stisvc][Stopped/Auto Start] <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%systemroot%\system32\winsysdwn.dll><N/A> [System Audio / System Audio][Stopped/Auto Start] <C:\Program Files\Outlook Express\audio.exe><Twain Working Group> 驱动程序 [epfwtdir / epfwtdir][Stopped/System Start] <system32\DRIVERS\epfwtdir.sys><N/A> [NsReSDev1 / NsReSDev1][Stopped/Manual Start] <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A> ================================= 蓝色项目不认识，红色项目原为系统服务，现已被病毒修改，其它个人认为是病毒添加的…… PS：个人认为该病毒修改和伪装了多个系统服务注册表项，麻烦…… 超级游戏迷最后编辑于 2008-11-17 19:39:50 打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:	发表于： 2008-11-17 19:35 \| 只看楼主短消息资料字号：小中大 9楼回复：我的电脑中木马了，杀不掉是挺多的而且我按版主的方法每次清理他又回写郁闷的要死 AppInit_DLLs 编辑了好几次每次都是病毒再后边又加了dll文件
niefeng1995 拙长孩提狮帖子:83 注册: 2008-10-31 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-11-17 19:42 \| 短消息资料字号：小中大 10楼回复: 我的电脑中木马了，杀不掉建议把c:\windows\system32\vcript32.dll这个文件连同版主说的那个文件一并打包上传…… 打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT