瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 为何瑞星被多次杀死???
不哭的蜗牛 - 2005-12-23 13:39:00
最近2天电脑出现严重病毒现象,就连瑞星也被多次杀死?
前天电脑出奇的慢,而且每次开机总是出现几个DOS信息框,可显示执行程序确实瑞星的监控和防火墙,但是启动完毕却不见瑞星监控和防火墙正常开启.
无奈只好重新安装系统和瑞星,而且将瑞星从2005升级到2006最新版.
但是仅仅过了1天,今天刚刚用瑞星杀完所有盘的毒,没有发现病毒.过了一会瑞星监控和防火墙居然自己莫名其妙的关闭了,而且网页打不开,但是正在用下载软件下载的东西却可以正常下载.重新启动机器,瑞星监控和防火墙也正常开启,可开机没2分钟,瑞星又自己关闭,手动打开瑞星杀毒和防火墙软件没任何反映.

请问这是什么原因?应该如何解决?谢谢!

PS:系统是XP+SP1
不哭的蜗牛 - 2005-12-23 13:48:00

救命啊,斑竹大人,工程师大哥们快帮帮忙啊!!!
BlackStone - 2005-12-23 13:49:00
用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
不哭的蜗牛 - 2005-12-23 13:58:00
日志如下:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell           

+ 1            File not found: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ CnxDslTaskBar    TaskBar Application    Conexant Systems, Inc.    c:\program files\conexant\accessrunner adsl usb\cnxdsltb.exe

+ NvCplDaemon    NVIDIA Display Properties Extension    NVIDIA Corporation    c:\windows\system32\nvcpl.dll

+ NvMediaCenter    NVIDIA Media Center Library    NVIDIA Corporation    c:\windows\system32\nvmctray.dll

+ nwiz    NVIDIA nView Wizard, Version 61.76     NVIDIA Corporation    c:\windows\system32\nwiz.exe

+ RavTask    RavTimer    Beijing Rising Technology Co., Ltd.    c:\program files\rising\rav\ravtask.exe

+ RfwMain            c:\program files\rising\rfw\rfwmain.exe

+ StormCodec_Helper            c:\program files\ringz studio\storm codec\stormset.exe

+ Torjan Program        SnowOTOE    c:\windows\winlogon.exe

+ Windows Logon Application            c:\windows\system32\winiogon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks           

+ Rising Execute File Exts hook    Rising Shell Ext Module    Beijing Rising Technology Co., Ltd.    c:\windows\system32\ravext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ RISING    Rising Shell Ext Module    Beijing Rising Technology Co., Ltd.    c:\windows\system32\ravext.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions           

+ @shdoclc.dll,-864            c:\windows\web\related.htm

HKLM\System\CurrentControlSet\Services           

+ NVSvc    Provides system and desktop level support to the NVIDIA display driver    NVIDIA Corporation    c:\windows\system32\nvsvc32.exe

+ RfwService    Rising Personal Firewall Service        c:\program files\rising\rfw\rfwsrv.exe

+ RsCCenter    CCenter    Beijing Rising Technology Co., Ltd.    c:\program files\rising\rav\ccenter.exe

+ RsRavMon    RavMond    Beijing Rising Technology Co., Ltd.    c:\program files\rising\rav\ravmond.exe

+ SoundMAX Agent Service (default)    SoundMAX service agent component    Analog Devices, Inc.    c:\program files\analog devices\soundmax\smagent.exe

+ sundll32    管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于 COM+ 组件将不能正常工作。        c:\windows\sundll32.bat

HKLM\System\CurrentControlSet\Services           

+ aeaudio    Andrea Audio Stub Driver    Andrea Electronics Corporation    c:\windows\system32\drivers\aeaudio.sys

+ BaseTDI    basetdi    Beijing Rising Technology Co., Ltd.    c:\windows\system32\drivers\basetdi.sys

+ CnxEtP    AccessRunner USB ADSL Modem/enumerator    Conexant Systems, Inc.    c:\windows\system32\drivers\cnxetp.sys

+ CnxEtU    AccessRunner USB ADSL Modem loader/driver    Conexant Systems, Inc.    c:\windows\system32\drivers\cnxetu.sys

+ CnxTgNW    AccessRunner PPPoA NDIS WAN Driver    Conexant Systems, Inc.    c:\windows\system32\drivers\cnxtgnw.sys

+ ExpScaner    ExpScan.sys        c:\program files\rising\rav\expscan.sys

+ FETNDIS    NDIS 5.0 miniport driver    VIA Technologies, Inc.                  c:\windows\system32\drivers\fetnd5.sys

+ GOOD05            File not found: C:\WINDOWS\System32\lwb.sys

+ HookCont    TDI HOOK Driver    Rising tech Co. ltd    c:\program files\rising\rav\hookcont.sys

+ HookReg            c:\program files\rising\rav\hookreg.sys

+ HookSys    Hooksys    Rising    c:\program files\rising\rav\hooksys.sys

+ MEMSCAN    MemScan Driver    瑞星软件有限公司    c:\program files\rising\rav\memscan.sys

+ mProcRs    Rising Personal FireWall  mprocrs.sys    Beijing Rising Technology Co., Ltd.    c:\program files\rising\rfw\mprocrs.sys

+ npkcrypt    nProtect KeyCrypt Driver    INCA Internet Co., Ltd.    d:\program files\tencent\qq\npkcrypt.sys

+ npkcusb    nProtect KeyCrypt Driver    INCA Internet Co., Ltd.    d:\program files\tencent\qq\npkcusb.sys

+ nv    NVIDIA Compatible Windows 2000 Miniport Driver, Version 61.76     NVIDIA Corporation    c:\windows\system32\drivers\nv4_mini.sys

+ Ptilink    Direct Parallel Link Driver    Parallel Technologies, Inc.    c:\windows\system32\drivers\ptilink.sys

+ RsFwDrv    nt_fwdrv    Beijing Rising Technology Co., Ltd.    c:\program files\rising\rfw\rsfwdrv.sys

+ Secdrv    SafeDisc driver        c:\windows\system32\drivers\secdrv.sys

+ smwdm    SoundMAX Integrated Digital Audio     Analog Devices, Inc.    c:\windows\system32\drivers\smwdm.sys

+ viasraid    VIA SATA RAID DRIVER FOR WINXP    VIA Technologies inc,.ltd    c:\windows\system32\drivers\viasraid.sys

+ vulfnths    VIA USB Host Controller Lower Filter Driver    VIA Technologies, Inc.    c:\windows\system32\drivers\vulfnth.sys

+ vulfntrs    VIA USB Roothub Lower Filter Driver    VIA Technologies, Inc.    c:\windows\system32\drivers\vulfntr.sys



我看起来好累,也看不懂,全指望楼上的大哥了!!!
BlackStone - 2005-12-23 14:06:00
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

+ 1 File not found: 1
把注册表此项内容改为explorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ Torjan Program SnowOTOE c:\windows\winlogon.exe

+ Windows Logon Application c:\windows\system32\winiogon.exe

HKLM\System\CurrentControlSet\Services

+ sundll32 管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于 COM+ 组件将不能正常工作。 c:\windows\sundll32.bat

HKLM\System\CurrentControlSet\Services
+ GOOD05 File not found: C:\WINDOWS\System32\lwb.sys

删除启动项
重启
删除c:\windows\winlogon.exe;c:\windows\system32\winiogon.exe;c:\windows\sundll32.bat试试
不哭的蜗牛 - 2005-12-23 14:29:00
发现新情况:
在重新装系统之前还有这个情况,在刚才重新启动后又一次出现.

双击D盘无法打开,无任何反应,只有点右键盘,选择打开后才可以进入.而且在D盘根目录自己生成一个名为pagefile的DOS文件.删除后还有.从装系统后格式了D盘才解决,但是好了2天,它又出来了.

附件: 64158920051223142917.BMP
不哭的蜗牛 - 2005-12-23 14:30:00
瑞星防火墙的图表已经无法正常显示


附件: 64158920051223143009.BMP
不哭的蜗牛 - 2005-12-23 14:34:00
晕啊  想安装4楼说的方法做

注册表  和 msconfig 都已经无法打开
出现提示 如下图


什么病毒啊

附件: 64158920051223143604.BMP
不哭的蜗牛 - 2005-12-23 15:33:00
没办法解决吗?
不哭的蜗牛 - 2005-12-23 15:38:00
哎 再GHOST
不哭的蜗牛 - 2005-12-23 17:21:00
瑞星都被杀死了,没高手站出来说说吗???????
BlackStone - 2005-12-23 17:22:00
是不是你的Ghost文件有问题啊
不哭的蜗牛 - 2005-12-23 17:27:00
GHOST之后就好了,应该是D盘那个pagefile的问题,但是我已经D格式化了,要不GHOST之后瑞星马上就被解决掉
中病毒之后进程里的winIogon.exe很可疑,网上搜索不到他的信息,应该是他伪装成winlogon.exe吧.
不哭的蜗牛 - 2005-12-23 17:30:00
Windows Logon Application c:\windows\system32\winiogon.exe

这是用Autoruns 获得日志中的一句
你在4楼的答复中也引用了这句  就是那个文件
我现在GHOST之后 安装瑞星  和社区提供的规则包还没发生问题.
而且进程中的winIogon.exe也不存在.D盘还没出现问题
BlackStone - 2005-12-23 17:30:00
那就奇怪了,你是怎么中的,没听说过格式化了硬盘还可存在的病毒
BlackStone - 2005-12-23 17:32:00
怀疑你的硬盘上的有些EXE感染了此病毒。
不哭的蜗牛 - 2005-12-23 17:37:00
在第一次中毒之后我GHOST了系统,瑞星到2006使用2天一直没事,我在用一个挂机软件挂传奇世界(破解版的),但是一直挂没毒,用瑞性扫描外挂也没发现病毒.
今天去xy2.yezizhu.com (大话西游2的著名网站),看到那里发生了网站管理内部分裂的消息,就点新闻进去了,然后瑞星出现下载扫描,然后就中了.
后来去xy2.yezizhu.com 看到消息网站被值入木马.
现在不敢去试了...

就是纳闷什么病毒能出现这样的症状,直接把瑞星搞死.....出现6 7楼描述的症状
不哭的蜗牛 - 2005-12-23 17:39:00
我2006我对整个硬盘进行了扫描 没发现情况
在第一次没格式化D盘 在D盘带有pagefile的情况下GHOST  完了马上瑞性挂掉

D格式化后瑞性没事,系统没事

浏览那站后又出现同样的症状,D盘再次出现无法打开出现pagefile

刚刚再次格式化了D盘  GHOST了C  现在正在使用
1
查看完整版本: 为何瑞星被多次杀死???
© 2000 - 2026 Rising Corp. Ltd.