瑞星和上网安全助手的打不开了.. bbs.ikaka.com

超级游戏迷 - 2007-5-27 17:27:00

启动
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<xptqhhx><C:\WINDOWS\system32\kriahqe.exe> []
<loftbgv><C:\WINDOWS\system32\vftabxk.exe> []

服务
[Distributed Application Client / SHipING][Stopped/Disabled]
<C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\SYSTEM32\WBEM\XHYYE.DLL,Export 1087><N/A>
[Network Provisioning help / xphelp][Stopped/Disabled]
<C:\WINDOWS\system32\svahost.exe><N/A>
[kernl32 / kernl32][Running/Auto Start]
<C:\WINDOWS\system32\kernl32.exe><N/A>
[svchost / svchost][Running/Auto Start]
<C:\WINDOWS\svchost.exe><N/A>
[ip139 / ip139][Running/Auto Start]
<C:\WINDOWS\system32\23.exe><N/A>

驱动
[yvdd / yvddd][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\yvddd.sys><N/A>
[kmsinput / kmsinput][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\kmsinput.sys><N/A>

正在运行的程序
[PID: 1684][C:\WINDOWS\system32\kriahqe.exe] [N/A, ]
[PID: 1720][C:\WINDOWS\system32\vftabxk.exe] [N/A, ]

以上为看出有问题的，蓝色为可疑项目。请高手指点。

yqlikaka - 2007-5-27 17:43:00

Backdoor.Zomby.d
破坏方法：木马的服务端程序，运行后将自己拷贝到system目录下，命名为kernl32.exe
之后kernl32.exe运行，驻留内存，并将自己的文件路径写入注册表
HKLM\SOFTWARE\MICROSOFT
\WINDOWS\CURRENTVERSION\Run\KRNL

RISING报的....

天月来了 - 2007-5-27 17:52:00

为什么日志都发不全呢？

从第一个字到最后一个字母都不能少的。

唉...............

超级游戏迷 - 2007-5-27 20:13:00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\SVCH0ST.EXE> [N/A]
补充一个，将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]下“Userinit”项的键值改为“C:\WINDOWS\system32\userinit.exe,”（包括逗号但不包括双引号）。

ty瑞瑞 - 2007-5-27 20:58:00

我也遇到了同样的病毒，不过杀毒软件是咔吧，被杀啦（关闭啦），还有360，但兔子可以运行！！

ty瑞瑞 - 2007-5-27 21:02:00

补充一下。安全模式进不去，安F8后选安全模式，进不去，重启！

ty瑞瑞 - 2007-5-27 23:38:00

还有，系统时间变为1980年啦，时间，日期都不对！

ty瑞瑞 - 2007-5-28 14:58:00

高手怎么不来看看！

cino - 2007-5-28 15:06:00

我和楼主同样遭遇

任何杀毒软件都不能运行
进安全模式自动重启
看不了隐藏文件
……
哪位大虾能救救我们啊
我们中的病毒名称是什么，有专杀吗

瑞星卡卡安全论坛