瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 我的系统怎么了,大家帮帮我,谢谢~!
吸血吻1977 - 2005-12-7 16:01:00
本人电脑一直很好,最近这几天电脑启动特别慢,最主要的是欢迎画面后,只出现背景,桌面启动不起来,必须按Ctrl+Alt+del调出任务管理器创建新任务输入C:\WINDOWS\system32\explorer.exe后才能启动桌面,不知道为什么,请各位帮帮我~!小弟跪求了
baohe - 2005-12-7 16:06:00
【回复“吸血吻1977”的帖子】

你的资源管理器搬家了。
把C:\WINDOWS\system32\文件夹中的explorer.exe拷贝到C:\WINDOWS\文件夹中。试试。
吸血吻1977 - 2005-12-7 16:07:00
日志
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:06:38, 日期 2005-12-7
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\rising\Rav\RavStub.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\Program Files\rising\Rav\Ravmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\system32\conime.exe
f:\Documents and Settings\user\My Documents\下载文件\HijackThis\HB_HijackThis1991zww\HijackThis1991汉化版\HijackThis1991_zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\FastAIT\IEBand.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - f:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - f:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 解霸实时播放 - d:\HEROSOFT\Hero3000\MPURLGET.HTM
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: 解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - 浏览器额外的“工具”菜单项: 解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\qq\QQ.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E504F9B-3C6F-4F2B-B6DC-9D0B34AE4780}: NameServer = 202.100.64.68,202.100.64.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{9E504F9B-3C6F-4F2B-B6DC-9D0B34AE4780}: NameServer = 202.100.64.68,202.100.64.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{9E504F9B-3C6F-4F2B-B6DC-9D0B34AE4780}: NameServer = 202.100.64.68,202.100.64.66
O17 - HKLM\System\CS3\Services\Tcpip\..\{9E504F9B-3C6F-4F2B-B6DC-9D0B34AE4780}: NameServer = 202.100.64.68,202.100.64.66
O23 - NT 服务: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\Ravmond.exe
O23 - NT 服务: Office Source Engine (Server) - Unknown owner - C:\WINDOWS\SOUNDMAN.exe
O23 - NT 服务: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


BlackStone - 2005-12-7 16:11:00
看看http://forum.ikaka.com/topic.asp?board=28&artid=7318038&page=10 143楼是否可以解决
吸血吻1977 - 2005-12-7 16:20:00
【回复“baohe”的帖子】还是不行,C:\WINDOWS\文件夹中有explorer.exe,我复制过来提示是否覆盖,点是,启动了还是老样子,刚我试了一下启动的时候调出任务管理器,运行C:\WINDOWS\explorer.exe,提示是被某个软件策略禁止了。
BlackStone - 2005-12-7 16:22:00
是不是曾经运行过灰鸽子免疫系统什么了
baohe - 2005-12-7 16:24:00
【回复“吸血吻1977”的帖子】
O23 - NT 服务: Office Source Engine (Server) - Unknown owner - C:\WINDOWS\SOUNDMAN.exe
可疑的系统服务。
把C:\WINDOWS\SOUNDMAN.exe这个文件打包,发到:baohelin@yahoo.com.cn
淡竹 - 2005-12-7 16:25:00
应该是中了恶鹰变种。将explorer进程结束了。
吸血吻1977 - 2005-12-7 16:25:00
【回复“BlackStone”的帖子】运行过前几天论坛上的灰鸽子免疫工具
吸血吻1977 - 2005-12-7 16:29:00
还有,我发现windouw目录下和\windows\system32\下都有一些字体为兰色的文件

附件: 6329322005127162923.jpg
BlackStone - 2005-12-7 16:33:00
O23 - NT 服务: Office Source Engine (Server) - Unknown owner - C:\WINDOWS\SOUNDMAN.exe
修复
重启
删除C:\WINDOWS\SOUNDMAN.exe


那个工具我没有了,不知怎么改回去了
问问版主怎么解除吧
吸血吻1977 - 2005-12-7 16:37:00
【回复“BlackStone”的帖子】我修复过,修复完了还有,这会我在找SOUNDMAN.exe,还没有找见
神山雪人 - 2005-12-7 16:43:00
电脑的问题很多,深有同感,不行重装一下吧?也不算太慢。
吸血吻1977 - 2005-12-7 16:57:00
【回复“baohe”的帖子】我发了,您看看
baohe - 2005-12-7 16:59:00
引用:
【吸血吻1977的贴子】【回复“BlackStone”的帖子】运行过前几天论坛上的灰鸽子免疫工具
...........................

那个灰鸽子免疫器改动文件位置以及对注册表的修改有以下内容:

rem 功能:限制 Windows 目录下的可执行文件的运行
rem 设置系统外壳的绝对路径:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "%SystemRoot%\System32\Explorer.exe" /f>nul 2>nul

rem 复制系统文件到System32目录:
for %%a in (explorer,hh,notepad,regedit,taskman,twunk_16,twunk_32,winhelp,winhlp32) do if not exist %SystemRoot%\System32\%%a.exe copy /y %SystemRoot%\%%a.exe %SystemRoot%\System32\>nul 2>nul

rem 添加禁止Windows目录执行程序的限制策略:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a29e74d3-68cd-43f4-80ab-022331b49a6b}" /v ItemData /t REG_SZ /d "%SystemRoot%\*.exe" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a29e74d3-68cd-43f4-80ab-022331b49a6b}" /v Description /t REG_SZ /d "" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a29e74d3-68cd-43f4-80ab-022331b49a6b}" /v SaferFlags /t REG_DWORD /d "00000000" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a29e74d3-68cd-43f4-80ab-022331b49a6b}" /v LastModified /t REG_BINARY /d "c086ab8c87e0e502" /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{E515547B-34A9-47E3-991B-FE1C19E5BFF0}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{9e85b2da-fe36-41ec-9b26-f1acbf7f895d}" /v SaferFlags /t REG_BINARY /d "9091122623e0c501" /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{E515547B-34A9-47E3-991B-FE1C19E5BFF0}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{9e85b2da-fe36-41ec-9b26-f1acbf7f895d}" /v Description /t REG_SZ /d "" /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{E515547B-34A9-47E3-991B-FE1C19E5BFF0}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{9e85b2da-fe36-41ec-9b26-f1acbf7f895d}" /v SaferFlags /t REG_DWORD /d "00000000" /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{E515547B-34A9-47E3-991B-FE1C19E5BFF0}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{9e85b2da-fe36-41ec-9b26-f1acbf7f895d}" /v LastModified /t REG_BINARY /d "c086ab8c87e0e502" /f>nul 2>nul
gpupdate /force>nul

如果不想要这个免疫器了,对照这个,自己改过来。
吸血吻1977 - 2005-12-7 16:59:00
SOUNDMAN.exe,我记得好象和声卡有关系,但原来扫描的时候没发现服务里有这个,前几天扫有这个文件了,但是就是修复不了
BlackStone - 2005-12-7 17:00:00
引用:
【吸血吻1977的贴子】【回复“BlackStone”的帖子】我修复过,修复完了还有,这会我在找SOUNDMAN.exe,还没有找见

...........................


注意操作步骤
修复
重启
删文件
吸血吻1977 - 2005-12-7 17:02:00
【回复“baohe”的帖子】斑主,那个太复杂了,有没有简单的办法
baohe - 2005-12-7 17:07:00
引用:
【吸血吻1977的贴子】【回复“baohe”的帖子】我发了,您看看
...........................

邮箱里的新邮件只有一个——来自sjbzhu@etang.com的,附件是system.rar。这个好像不是你发的。
吸血吻1977 - 2005-12-7 17:20:00
【回复“baohe”的帖子】我再发一次
吸血吻1977 - 2005-12-7 17:24:00
【回复“baohe”的帖子】我发了,您再看看
baohe - 2005-12-7 17:28:00
【回复“吸血吻1977”的帖子】
仍然没有新邮件啊。
连垃圾邮件都看过了。
我的邮箱:baohelin@yahoo.com.cn
吸血吻1977 - 2005-12-7 17:29:00
【回复“BlackStone”的帖子】C:\windows\SOUNDMAN.exe,没这个文件,真搞不懂,隐藏文件里也没有,我搜了一下在C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles找到一个
吸血吻1977 - 2005-12-7 17:31:00
【回复“baohe”的帖子】没错啊,我是把你的邮箱复制过去的
吸血吻1977 - 2005-12-7 17:34:00
【回复“baohe”的帖子】我换个邮箱给你发,已经发了
吸血吻1977 - 2005-12-7 17:36:00
【回复“baohe”的帖子】我发了,您看看吧
吸血吻1977 - 2005-12-8 8:32:00
【回复“baohe”的帖子】昨晚,我用最新病毒库的卡巴全盘扫描了一下,发现C:\windows\SOUNDMAN.exe是病毒backdoor.win32.Hupigon.ip,我的卡巴已经把它杀了,今天启动电脑还是老样子,班主,我该怎么办?
netspy_hgf - 2005-12-8 9:55:00
SOUNDMAN是声卡管理服务。这个没有毛病的哟。
吸血吻1977 - 2005-12-8 13:44:00
吸血吻1977 - 2005-12-8 13:59:00
d
12
查看完整版本: 我的系统怎么了,大家帮帮我,谢谢~!
© 2000 - 2026 Rising Corp. Ltd.