瑞星卡卡安全论坛

scanregw.exe占CPU使用率的99%
这是什么问题呢?应该怎么解决呢?

什么系统？XP系统没有这个文件。

扫日志上来吧。日志扫描工具 HijackThis1991zww.exe到华军软件园找吧！

是XP 系统还是XP SP2 也不太清楚啊
最近老是 99% 是不是木马啊,"scanregw.exe是微软Windows操作系统的一部分。该进程用于检测Windows注册表。"
有这样说的,还说这是"广外幽灵"木马程序,都不知道哪个是对的拉

我的是XPSP2，就没有那个文件。可能是病毒。

引用:

【阿诺8979的贴子】我的是XPSP2，就没有那个文件。可能是病毒。 ………………

好像需要自己安装

http://file.tianwang.com/cgi-bin/search?word=scanregw.exe

HijackThis_815汉化版扫描日志 V1.99.1
保存于      11:52:00, 日期 2006-8-24
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Rising\Rav\RavStub.exe
d:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\rundll32.exe
G:\maya 7.0\docs\wrapper.exe
G:\maya 7.0\docs\jre\bin\java.exe
C:\WINDOWS\system32\conime.exe
D:\Program Files\Rising\Rav\RavTask.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\taskmgr.exe
D:\eMule\eMule.exe
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
C:\Program Files\WinRAR\WinRAR.exe
D:\Program Files\Rising\Rav\RsAgent.exe
C:\DOCUME~1\FANGMI~1.JIA\LOCALS~1\Temp\Rar$EX00.062\HijackThis1991zww.exe
C:\WINDOWS\msagent\AgentSvr.exe

F3 - REG:win.ini: load=C:\WINDOWS\rundl132.exe
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - C:\Program Files\Thunder Network\WebThunder\WebThunderBHO_011.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\qq2006\QQ\QQIEHelper.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: 珊瑚虫 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - IE工具栏增项: 珊瑚虫 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [ScanRegistry] scanregw.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - IE右键菜单中的新增项目: Google 搜索(&G) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: 使用Web迅雷下载 - C:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - IE右键菜单中的新增项目: 使用Web迅雷下载全部链接 - C:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 反向链接 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 类似网页 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - IE右键菜单中的新增项目: 缓存的网页快照 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - IE右键菜单中的新增项目: 翻译英文字词(&T) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - IE右键菜单中的新增项目: 豪杰超级解霸V8实时播放 - C:\Herosoft\HeroV8\MPURLGET.HTM
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的“工具”菜单项: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的按钮: 珊瑚虫 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - 浏览器额外的“工具”菜单项: 珊瑚虫 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - 浏览器额外的按钮: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {DE607141-AC19-421e-860A-0D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607141-AC19-421e-860A-0D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\qq2006\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\qq2006\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ABD9326-C698-4A60-BA28-A77E15CF345A}: NameServer = 202.103.24.68 202.103.44.150
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - G:\maya 7.0\docs\wrapper.exe" -s "G:\maya 7.0\docs\Wrapper.conf (file missing)
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe

没发现 scanregw.exe这个进程呀，应该清理流氓软件了。

发现病毒

C:\WINDOWS\rundl132.exe
修复
F3 - REG:win.ini: load=C:\WINDOWS\rundl132.exe

把C:\WINDOWS\rundl132.exe发给baohe版主

系统文件是rundll32.exe,病毒为rundl132.exe

注意第二个l应该是字母l而不是数字1

rundl132 - rundl132.exe - 进程信息
进程文件： rundl132 或 rundl132.exe
进程位置： windir
程序名称： Troj_AutoCrat.b.enc
程序用途： 后门木马病毒以窃取信息为主。
程序作者：
系统进程： 否
后台程序： 是
使用网络： 是
硬件相关： 否
安全等级： 低
进程分析： 该病毒修改win.ini文件实现自启动，使用与rundll32.exe相似的rundl132.exe文件名。病毒运行后打开后门端口，允许恶意攻击者控制计算机。

建议使用瑞星最新版，请专家到你的机器上处理~
rundl132.exe是MSN病毒

专杀工具下载http://download.rising.com.cn/zsgj/RavFunny.exe

这些也都修复:

O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的“工具”菜单项: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的按钮: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {DE607141-AC19-421e-860A-0D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607141-AC19-421e-860A-0D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O23 - NT 服务: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - G:\maya 7.0\docs\wrapper.exe" -s "G:\maya 7.0\docs\Wrapper.conf (file missing)

删除:C:\PROGRA~1\MMSASS~1这个文件夹

刚才进餐去咯,谢谢啦~现在正在处理
等处理好了我在留言

引用:

【阿诺8979的贴子】没发现 scanregw.exe这个进程呀，应该清理流氓软件了。 ………………

这个进程站用99%,其他程序运行不了,我就结束进程了啊,
现在扫描不上来啊?确定是流氓软件?那我怎么删除掉啊

还有那个 rundll32.exe的那个 病毒~怎么处理掉呢?

已经告诉你有专杀工具下载了。

我用那个杀过了,但没有查处病毒啊,能不能进行一下 远程控制?帮我解决以下呢?

我用"木马杀客"杀出这几个来,看有没有说的哪个呢?系统事件：已发现木马!
木马名称：Adware.yiqu.4836
木马路径：C:\Documents and Settings\All Users.WINDOWS\Favorites\易趣购物.lnk
处理方式：隔离 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：Adware.yiqu.4836
木马路径：C:\Documents and Settings\All Users.WINDOWS\「开始」菜单\易趣购物.lnk
处理方式：隔离 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：UnKnownVirus.Morphine.4314
木马路径：C:\Documents and Settings\fangming\Local Settings\Temp\Perflib_Perfdata_144.dat
处理方式：删除 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：UnKnownVirus.Morphine.4314
木马路径：C:\Documents and Settings\fangming\Local Settings\Temp\Perflib_Perfdata_400.dat
处理方式：删除 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：Adware.yiqu.4836
木马路径：C:\Documents and Settings\fangming.JIANGDA-FAB7B1D\Favorites\易趣购物.lnk
处理方式：隔离 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：UnKnownVirus.Morphine.4314
木马路径：C:\Documents and Settings\fangming.JIANGDA-FAB7B1D\Local Settings\Temp\Perflib_Perfdata_2c8.dat
处理方式：删除 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：UnKnownVirus.Morphine.4314
木马路径：C:\Documents and Settings\fangming.JIANGDA-FAB7B1D\Local Settings\Temp\Perflib_Perfdata_624.dat
处理方式：删除 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：UnKnownVirus.Morphine.4314
木马路径：C:\Documents and Settings\fangming.JIANGDA-FAB7B1D\Local Settings\Temp\Perflib_Perfdata_7d4.dat
处理方式：删除 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：Adware.yiqu.4836
木马路径：C:\Documents and Settings\fangming.JIANGDA-FAB7B1D\「开始」菜单\易趣购物.lnk
处理方式：隔离 成功
发现日期：2005年12月25日

系统事件：已发现木马!
木马名称：zhongshou.adware.3538
木马路径：C:\Program Files\HuaCi\huaci\Mouse1.dll
处理方式：删除 成功
发现日期：2005年12月25日