瑞星卡卡安全论坛

系统启动自动删除NTLDR，瑞星报警，提示 explorer 违规操作 ，删除NTLDR，但是点击“拒绝”无效，继续删除了NTLDR，导致系统不能启动。手工恢复 NTLDR,重新启动后仍然这样，请问如何处理？请帮帮忙！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; MAXTHON 2.0)

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩sreng2.zip；
2、运行SREngPS.EXE；
3、依次点击【智能扫描】-【扫描】；
4、耐心等待，扫描结束后点击【保存报告】；
5、选择保存路径，文件名保持默认，直接点击【保存】；
6、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
7、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

谢谢版主回复。请问，SREngPS.EXE可以在dos下运行吗？因为，现在系统没法使用，刚一启动就删除NTLDR,系统就关机了。再次启动就提示NTLDR is missing。我只能用dos启动，将NTLDR文件复制过去才行呢。
说明一下：我的机器是台笔记本，没有光驱、软驱，只能使用U盘启动。

我也遇到这种情况了,不过我把C:/window 里面有个目录下的shutdown.exe 删掉后,机器就不重启了,不过每次还是删除ntldr  杀毒软件安装上后,一执行就会被删掉,期待有人把解决办法发上来

楼上的参考2楼版主的方法，进入安全模式扫描日志

与楼主相同的问题，按4楼的方法，改掉shutdown.exe的名称(或删除)是可以解决不机关的问题，瑞星杀毒可以运行(杀毒和升级)，但System Repair Engineer不能运行，一运行就会被删除“SREngLdr.EXE”这个文件，安全模式也进入不了，但正常模式可以进入，用“IceSword.exe ”查explorer 进程模块，在system32下好像有一个cxx.dll(查在system32目录下并没有这个文件)的不熟悉的进程，强制解除后提示出错，不能再查explorer 的进程模块了，要退出IceSword.exe 后再重新进入，才能再查explorer的模块信息，发现cxx.dll还是存在。希望高手能给予解决，谢谢!

今天公司的一台电脑也出现了与楼主一样的问题，也进不了安全模式，期待该问题早日能解决！:default2:

在已解决重启的情况下，用电脑本身的瑞星进行查杀(杀毒软件还能升级、启动)，并没有发现病毒(查不出cxx.dll等，可能在带毒情况下，病毒进行了自我保护)，用msconfig查，发现启动项中有：“X:\Program Files\FlashGet Network\Flashget\Temp\setup.exe”，将其删除，并在相应的目录下将setup.exe这个文件删除，重启后再查杀，还是没有，后来将硬盘拆下，挂到其他的电脑上进行全盘杀毒(用瑞星下载版20.56.21)，进行了2个多小时的杀毒，也还是查不到病毒，后来再打开\windows\system32目录，直接在这个目录下用瑞星杀，共查出5个xxxxxx.dat(由若干个数字组成的文件名)和一个cxx.dll文件含有Trojan.win32.Undef.Kho病毒，瑞星将其杀毒删除后，再重查这个目录一遍，确证无毒后，再将硬盘装回原机，可以正常启动了(将shutdown.exe改回原名不会重启)，再用“IceSword.exe”查explorer 进程模块，再出没有发现cxx.dll这个进程了。但安全模式还是进不了(不断的重启)，后来用修复安全模式后，可以进入安全模式了，电脑上其他应用程序全部正常。有一点不解的是，为什么瑞星全盘查不到病毒，单独进入目录(查单个目录)后就可以查到，会不会瑞星工作时间长了，杀毒能力会减弱(累了)？另外，在刚发现不能正常启动(不断的重启)时，用winPE查看temp目录，发现有一个sinXA.exe(X为数字)文件，估计是病毒文件(没有留样本)，当时没有查杀就直接将其删除了。
发一个能进入正常模式后的SREngLOG文件，请老大看一下还有没有问题。

附件: SREngLOG.log (2008-8-12 14:54:28, 104.34 K)
该附件被下载次数 182

楼上说的单个木马查杀是否右击该目录然后选择瑞星杀毒，这种杀毒属于快捷杀毒，和全盘杀毒是2种设置，如果设置的杀毒级别不一样可能会有差异。

开始时是启动瑞星，选全盘杀，后来找到目录后点右键杀。会不相同吗？

在详细设置里，看全盘杀毒和快捷杀毒的设置是否相同。

瑞星杀毒画面启动后都是一样的，级别都是中安全，没有改过什么设置，都是默认的。

对于系统启动自动删除NTLDR问题

从这阵病毒来看

可能中了Javqhc病毒

因为该病毒一旦在系统里运行起来

它就将检测系统是否有虚拟机的服务项，以及老版本金山毒霸那边的AV终结者专杀注入系统的注册表项

如果检测到这些项目，就会立即删除系统启动必须的NTLDR引导文件。

没办法的。

现在的新的金山那的专杀已经解决这问题了

对于还有这样异常的用户

请设法挂盘，用AV专杀，或Javqhc专杀，清理系统盘。

我都快疯了 平均22分钟用GHOST盘做一次系统！~结果是刚刚把瑞星装上 运行个程序就发上大家说的删除NTLDR的现象！~我做了一下午的系统了！~真不知道瑞星怎么了？我以前都是用瑞星的。现在.....我怕了！~

你能不能自己详细观察到底做了什么事导致你这现象？

例如你GHOST盘做一次系统后，到底有没有去再上网。有没有再去开启你安装在其他盘的QQ软件？？？

这很重要的。

你说运行个程序就那样。

你到底运行什么程序了？