1   1  /  1  页   跳转

出现explorer.exe病毒

收藏
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 03:12 | 显示全部 短消息 资料
字号: 1楼

出现explorer.exe病毒

机子现在每个盘符都会出现explorer.exe和autorun.inf文件,删除后,打开每个盘符还会出现explorer.exe和autorun.inf文件,瑞星提示explorer.exe触发了API规则被拒绝,但删不了,怎么解决呢?
最后编辑2008-03-24 08:10:34.857000000
分享到:
gototop
 
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 12:26 | 显示全部 短消息 资料
字号: 2楼

【回复“sako”的帖子】
如何上传文件啊?
==================================
Winsock 提供者
N/A

==================================
Autorun.inf
[C:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[D:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[E:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[F:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[H:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[I:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[J:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[K:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe
[L:\]
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 336, C:\PROGRAM FILES\COMMON FILES\VMWARE\VMWARE VIRTUAL IMAGE EDITING\VMOUNT2.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1592, C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1544, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 2644, C:\EXPLORER.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2644, C:\EXPLORER.EXE]

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================
gototop
 
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 12:44 | 显示全部 短消息 资料
字号: 3楼

引用:
【sako的贴子】具体方法
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把报告保存后以附件的形式发上来,注意把报告文件的扩展名改成“.txt”
………………

附件附件:

下载次数:163
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-23 12:44:45
描述:
gototop
 
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 14:57 | 显示全部 短消息 资料
字号: 4楼

【回复“豪斯登堡新郎”的帖子】
删除后系统能正常启动么?我现在安全模式已经进不去了
gototop
 
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 15:04 | 显示全部 短消息 资料
字号: 5楼

引用:
【newcenturymoon的贴子】explorer.exe打包传上来看看
………………

附件附件:

下载次数:132
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-23 15:04:56
描述:
gototop
 
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 15:34 | 显示全部 短消息 资料
字号: 6楼

【回复“豪斯登堡新郎”的帖子】
2.删除重启后使用SREng修复下面各项:
执行的时候提示操作被取消.现在每个盘里还有explorer.exe,不过显示的时候是显示成文件夹的样子
怎么办呢?
在SReng启动项目时,提示注册表值userinit被修改为非正常值
gototop
 
netfash
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-03-23
  • 来自:
发表于: 2008-03-23 23:48 | 显示全部 短消息 资料
字号: 7楼

如何处理呢?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT