瑞星卡卡安全论坛
出来方攵风 - 2005-11-28 9:28:00
我机器中了“Trojan.PSW.GWGhost.dll ”这东西,在网上查了很资料。也看了很多帖子,都没找到解决方法。我用的是正版瑞星最新的。
只要在内存里查出这个病毒。一共有两个,其中一个能杀死。这个DLL的清不掉。
重新启动杀毒仍然还能查出这两个病毒
安全模式我杀了,什么也查不到。。
怎么办呀,请帮帮我!~~
BlackStone - 2005-11-28 9:32:00
用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)
工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038第14楼
出来方攵风 - 2005-11-28 9:39:00
这是我的日志
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ RavMon RavMon Rising realtime monitor Beijing Rising Technology Co., Ltd. d:\program files\rising\rav\ravmon.exe
+ RavTimer RavTimer Beijing Rising Technology Co., Ltd. d:\program files\rising\rav\ravtimer.exe
+ Thunder d:\program files\thunder network\thunder\thundershell.exe
D:\Documents and Settings\All Users\「开始」菜单\程序\启动
+ Adobe Gamma Loader.lnk Adobe Gamma Loader Adobe Systems, Inc. d:\program files\common files\adobe\calibration\adobe gamma loader.exe
HKLM\System\CurrentControlSet\Services
+ NVSvc Provides system and desktop level support to the NVIDIA display driver NVIDIA Corporation d:\windows\system32\nvsvc32.exe
+ RsCCenter CCenter rising d:\program files\rising\rav\ccenter.exe
+ RsRavMon RavMon Beijing Rising Technology Co., Ltd. d:\program files\rising\rav\ravmond.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Desktop Explorer NVIDIA Desktop Explorer, Version 105.36 NVIDIA Corporation d:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 105.36 NVIDIA Corporation d:\windows\system32\nvshell.dll
+ Display Panning CPL Extension File not found: deskpan.dll
+ HyperTerminal Icon Ext HyperTerminal Applet Library Hilgraeve, Inc. d:\windows\system32\hticons.dll
+ NvCpl DesktopContext Class NVIDIA Display Properties Extension NVIDIA Corporation d:\windows\system32\nvcpl.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 105.36 NVIDIA Corporation d:\windows\system32\nvshell.dll
+ Play on my TV helper NVIDIA Display Properties Extension NVIDIA Corporation d:\windows\system32\nvcpl.dll
+ RISING Rising Shell Ext Module Beijing Rising Technology Co., Ltd. d:\windows\system32\ravext.dll
+ WinRAR shell extension f:\program files\winrar\rarext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ ThunderIEHelper Class xunleibho BHO d:\windows\system32\xunleibho_v8.dll
BlackStone - 2005-11-28 9:42:00
日志里没看出问题
杀毒软件杀毒失败文件的路径是什么?
出来方攵风 - 2005-11-28 9:45:00
BlackStone - 2005-11-28 9:48:00
用procexp查看那个进程使用rltac32.dll,关闭进程,再把dll文件删掉
工具使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
出来方攵风 - 2005-11-28 10:05:00
是explorer.exe使用了这个dll文件呀
怎么办!!!
BlackStone - 2005-11-28 10:09:00
1)把Explorer.exe通过procexp关闭
2)通过procexp的File->Run菜单启动CMD.exe
3)在CMD中输入Del D:\windows\system32\rltac32.dll回车
出来方攵风 - 2005-11-28 10:16:00
糟了~~ 提示,拒绝访问!!
BlackStone - 2005-11-28 10:18:00
你关闭了Explorer了吗
出来方攵风 - 2005-11-28 10:21:00
更晕的是,关掉Explorer.exe重新在加载Explorer.exe后。。Explorer.exe并不使用rltac32.dll文件了。。。。。。。。。。。
出来方攵风 - 2005-11-28 10:22:00
| 引用: |
【BlackStone的贴子】你关闭了Explorer了吗
........................... |
是的呀,在Explorer上使用的KILL PROCESS项呀。开始和任务行都不见了呀
BlackStone - 2005-11-28 10:24:00
那再用procxp查找一下那个进程使用那个dll
出来方攵风 - 2005-11-28 10:26:00
没有了,我重新找了一次。没有程序还使用这个了~
晕死我了///
你告诉我如果系统重装能不能解决吧!!!!5555
BlackStone - 2005-11-28 10:36:00
没必要重装的
你用Find Handle(在工具栏里挨着Find Dll)再找一下看看
出来方攵风 - 2005-11-28 10:42:00
没有了,搜不到,,,,估计我重起一下能搜到,不过我相信肯定还是Explorer使用这个DLL
BlackStone - 2005-11-28 10:48:00
那先重启一下试试
出来方攵风 - 2005-11-28 11:11:00
奇怪,重起后。在使用瑞星查毒,扫不到内存中有病毒了~~~
我正在全盘扫不知道会不会扫出来!!!!
感谢你的帮助!!谢谢!!3Q :)))
BlackStone - 2005-11-28 11:19:00
你搜索一下C:\windows\system32下还有没有那个DLL
BlackStone - 2005-11-28 11:22:00
你搜索一下C:\windows\system32下还有没有那个DLL
出来方攵风 - 2005-11-28 13:04:00
嗯,按你说的,我又查了次,这个DLL文件还在。但是瑞星不在提示有病毒了,我进行了全盘杀毒。而且这个文件也可以手动删除了~!现在这个文件我删掉了,,希望不会对系统有什么影响吧! 谢谢你的帮忙!!!
1
© 2000 - 2026 Rising Corp. Ltd.