【求助】瑞星安装失败后出现异常 bbs.ikaka.com

345270930 - 2006-8-22 21:42:00

大家好，我的瑞星版本是2004版，原先安装在E盘，重新安装则在D盘，我重新安装时系统提示无法安装然后点退出结束安装，之后D盘右键单击显示自动播放，无法双击打开，这是怎么一回事啊？如何恢复正常？本人是菜鸟恳请大家指点一下

★蓝色羽毛★ - 2006-8-22 21:45:00

不要装2004了，用序列号下载2006装，打不开是因为D盘有个autoruns.inf的文件

345270930 - 2006-8-22 21:59:00

【回复“★蓝色羽毛★”的帖子】我在D盘里面没有搜索到autoruns.inf文件

★蓝色羽毛★ - 2006-8-22 22:02:00

隐藏的

345270930 - 2006-8-22 22:14:00

【回复“★蓝色羽毛★”的帖子】
我点工具/文件夹选项/查看/显示所有文件文件夹D盘还是没有autoruns.inf啊

地区性 - 2006-8-22 22:59:00

引用:

【345270930的贴子】【回复“★蓝色羽毛★”的帖子】
我点工具/文件夹选项/查看/显示所有文件文件夹D盘还是没有autoruns.inf啊
………………

WinRAR你总改有吧

用WinRAR可以看到autoruns.inf，看到后删除，重启计算机就OK了

345270930 - 2006-8-22 23:30:00

【回复“地区性”的帖子】
我在D盘建了1个RAR文件然后点查看，有看到autoruns.inf删除重启计算机后还是不行，忘了说明安装失败后D盘有1个pagefile文件的指向MS-DOS 程序的快捷方式删了重启还是出现

地区性 - 2006-8-22 23:40:00

引用:

【345270930的贴子】【回复“地区性”的帖子】
我在D盘建了1个RAR文件然后点查看，有看到autoruns.inf删除重启计算机后还是不行，忘了说明安装失败后D盘有1个pagefile文件的指向MS-DOS 程序的快捷方式删了重启还是出现
………………

中了落雪木马

检查一下是不是有两个winlogon.exe运行

网络小手 - 2006-8-22 23:47:00

用瑞星听诊器扫描一遍，然后看日志！

345270930 - 2006-8-22 23:49:00

【回复“地区性”的帖子】
是的进程里有2个，1个是USER1G个是SYSTEM，是木马引起D盘有自动播放的选项吗？

地区性 - 2006-8-22 23:56:00

引用:

【345270930的贴子】【回复“地区性”的帖子】
是的进程里有2个，1个是USER1G个是SYSTEM，是木马引起D盘有自动播放的选项吗？
………………

没错，

打开我的网络硬盘

http://free5.ys168.com/?luoyexinqing

下载这两个文件

附件: 4803152006822234813.jpg

地区性 - 2006-8-22 23:57:00

先使用WINLOGON批处理.rar 0.5MB，看有什么情况

345270930 - 2006-8-23 0:12:00

引用:

【地区性的贴子】先使用WINLOGON批处理.rar 0.5MB，看有什么情况
………………

使用方法先结束病毒进程WINLOGON.EXE（用IceSword即可，原来是用Procexp，两者均可用）
结束病毒进程WINLOGON.EXE是不是在任务管理器/进程那里点那2个WINLOGON.EXE然后运行Procexp/文件/运行是吗？

345270930 - 2006-8-23 0:34:00

引用:

【地区性的贴子】先使用WINLOGON批处理.rar 0.5MB，看有什么情况
………………

谢谢你的指教。问题解决了D盘不再有自动播放的选项了。谢谢！

顺便问一下为什么我的瑞星安装不了？我的是2004正版的。

病毒初学者 - 2006-8-23 1:12:00

学习了你的瑞星可以用序列号去网站下最新的了如果还能用的话还省的垮那么多了

地区性 - 2006-8-23 11:22:00

资料：

“落雪”木马也叫“游戏大盗”（ Trojan/PSW.GamePass），由VB 程序语言编写，通过 nSPack 3.1 加壳处理（即通常所说的“北斗壳”North Star），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

地区性 - 2006-8-23 11:24:00

引用:

【345270930的贴子】
谢谢你的指教。问题解决了D盘不再有自动播放的选项了。谢谢！

顺便问一下为什么我的瑞星安装不了？我的是2004正版的。
………………

winlogon的批处理已经使用了，再用狮子落雪系列专杀查下

如果没问题，就可以安装瑞星了

正是因为那个伪装成系统进程的winlogon木马使杀软中止

瑞星卡卡安全论坛