瑞星卡卡安全论坛

【回复“小佛”的帖子】
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

这两项有问题。

先用SSM禁止其运行，重启。再找相应的文件。然后，打包发到：baohelin@yahoo.com.cn

【注】如何使用SSM禁止木马运行——参看“ 菜鸟如何用SSM解燃眉之急”
http://forum.ikaka.com/topic.asp?board=28&artid=7253425

昨晚差不多相同的时间里与楼上发生同样情况.
-------------------------
不知是不是下面二个东东在做怪:
KernelFaultCheck
---------------
C:\WINDOWS\System32\ptool32.exe
----------------------------------
其中:KernelFaultCheck
是在:C:\Documents and Settings\....\Local Settings\Temp\IXP000.TMP
之中,但找不到.
-------------------------
有出现PTOOL32.EXE(有"龙"字标志)要求通过防火墙.不同意,防火墙就出现被关闭.
----------------
删除了:IXP000.TMP 文件夹,同时在注册表中以:PTOOL32查找删除相关注册.重装瑞星后,到现在虽未出现要求通过防火墙,但实时监控(小绿伞)仍看不见.
------------
请求帮忙!!!!
------------------------
另,刚将杀毒和防火墙一并删除后重装,先装的杀毒,升级\重新开机,小绿伞正常.接着装防火墙,才一半,又不见小绿伞----又回到原样.
-----
难道中了这ptool32.exe,杀毒与防火墙也冲突?

刚刚杀完ptool32,= =！把步骤写在下面吧！附：我的是xp版本
在安全模式下打开隐藏文件和显示系统文件、并且去掉“隐藏系统保护文件”旁边的勾勾！（这个很重要的！否则会找不到文件哦）
在windows下的system32里就应该能够找到ptool32和lscnty（我的是这两个文件），删掉他们，并且在搜索里查找，删掉所有这个名字的文件。然后打开注册表找这两个文件所在的项目，删掉！然后最好再用兔子之类的删一次注册表（我第一次手工删完之后，重启后居然还有！）。对于瑞星实时监控打不开，我也是这样子啦，甚至防火墙都打不开，没法子重装吧~~~~~~~ 暂时还没发现问题！还有删除成功的大人们，希望能够在下面分享一下经验啊！

有ptool32和lscnty的话请将这两个文件用WINRAR打包，发到：baohelin@yahoo.com.cn
这种病毒,要是你IE没漏洞的话,是不会中的,关键要打好补丁

想问一下楼主装的是什么版本滴XP啊...
我也是某一天突然瑞星提醒这个病毒
然后我就狂杀，发现杀不掉，想找到这个文件也是找不着。最后直接清除。然后升级到最新版本扫了一遍硬盘，报告我没有病毒了。
也没有出现瑞星会启动不了的情况。
大家说的那两个文件，俺也米有发现...
难道俺是例外情况？

xp sp1
你的绿雨伞在右下角么？

我和30 31楼的遭遇一样！

我也出现这个现象啊！我现正用瑞星在线杀毒，版本是最新版本17.47.10

呵....总算删除成功了.
--------------
还得谢谢31楼的提醒,用免子一查:进程.果然还有:lscnty 是在:C:\WINDOWS\System32\lscnty.exe

但即便打开了:显示隐藏文件,也是看不到的.
用搜索:发现在:C:\WINDOWS\Prefetch 中有,直接删除.
--------
运行:regedit 注册表,查找:lscnty有二处其名称:"000"和"KernelCheck",但通过"修改"查看,右发现其数值名称就是:lscnty-->直接删除.
-----------------------
重新删除\安装"杀毒"(小绿伞已见)-->升级.关机-->开机重复多次,每次如故-->小绿伞又回来了.
--------------------------
当然这是在前面以删除了:ptool32(删除方法同前面),看来,只有删除这二个文件夹,才能恢复正常.
----------------
不过与31楼不同的是,我不是在安全模式下进行的,是在正常情况下进行的.系统XP
----------------
对了,我这前面还发现有一处有其身影,是在:

C:\Documents and Settings\(机子使用人文件)\Local Settings\Temp\IXP000.TMP
的:IXP000.TMP 之中(看不见).采用的办法是删除文件夹:IXP000.TMP
可能会出现"文件正使用中...."--->关机\开机-->立即删除.
---------------------
麻烦了些,没法子,虽让我们中了招,又是菜鸟......好在只要能恢复正常,也是高兴的.

xp sp1
你的绿雨伞在右下角么？
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
我是的xp sp2,但也没有打过ie6的补丁...
绿雨伞是指那个实时监控咩？我一直有...
杀毒的时候还是一直存在着...
我是前3号的时候出现这个问题的，也是上来求助
“命运的金色”这位老大说...我是不小心上了挂毒的网站...所以才中了毒...
我也是用瑞星杀不掉，后来用他的办法，就是清空那个cookies文件夹，然后又杀了一遍，以后开机都没有显示出有问题。

前面又有人问.....看来这次中招的还不少.....顶上

还是不行啊,按照你们的方法还是没找到这个文件

37楼按照你的方法，绿雨伞还是消失了！

回楼上:从这次清除过程中看,应是有下列相关(因前期也真的没在意,好在这次太深刻):
1,中毒情况与时间与你基本相同,但我上的是"无忧天地"那是我基本天天去的正规的论坛,这次上一去就中招.
2,被强行关闭杀毒和防火墙后,关机\开机,不正常情况一样,小绿伞不见,只有防火墙,一连线,不久,有ptool32(有"龙"字标志)要求通过防火墙.(不同意有时防火墙就出现被关闭).打开防火墙,在"网络活动"中可看见处于活动的ptool32在下列二个文件夹中(我这情况):
C:\WINDOWS\System32\ptool32.exe
C:\Documents and Settings\(此处是个人机子名称文件)\Local Settings\Temp\IXP000.TMP

3,ptool32用搜索文件可以搜索到,只是当时仓促删除,记不清是在那的文件夹了.
4,进入注册表中,查看:ptool32有二处:名称分别是"000"和"KernelFaultCheck"(这个如没记错)但通过右健的"修改",都可查看到其的:数值名称都是:ptool32
------
5.lscnty的搜查与删除见37贴.
---------------------------
但这二个毒在不是安全模式下即使打开了显示隐藏文件,在C:\WINDOWS\System32\ptool32.exe
C:\Documents and Settings\(此处是个人机子名称文件)\Local Settings\Temp\IXP000.TMP 中也是看不到的.
---------
从我这处理的过程中看,归结来主要是删除了下面几个方面的二个毒:
1,注册表中删除,二毒在注册表中查看至少均在二处中有存在(名称见前述)-->确定后删除
2.对C:\Documents and Settings\(此处是个人机子名称文件)\Local Settings\Temp\IXP000.TMP中的IXP000.TMP实行文件夹删除(见前贴)
------
删除后,重装杀毒和防火墙.
-------------------
我的系统XPSP1,IE6.0(未打过补丁)
----------------
耐心点.细心点......如实在不行,也按31楼的方法试试.
-----
祝成功!!!

麻烦看一下是否有这个文件？
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\scripts.ini

IE6的补丁怎么打？谢谢！

【回复“海色の月”的帖子】真正的高手呀,按她说的做吧

IE6的补丁怎么打？谢谢！

为什么按照31楼的做，最后每次电脑启动后都要手动打开实时监控？

还有请问大家怎么给IE打补丁？

【回复“小佛”的帖子】用windows update