瑞星卡卡安全论坛

我的机子最近可能中了U盘病毒，每次插入U盘，都会迅速生成一个Autorun.inf空文件夹，但没有见到auto.exe，删除后再次插入，依然继续生成，我想可能是机子上还有病毒本体存在，可是用尽了自己会的手动寻找病毒的办法，也找不到病毒藏在哪？而且当我想打开注册表时，发现注册表已被停用！还有一个现象就是，C盘根目录下的pagefile系统文件，总是刚开机一会就迅速增大到600多m，我觉得这些都显示我的机子出问题了，但我找不到其根源，求助各位达人了！下面是我扫描的SREngLOG日志：


去下载最新SRENG工具：http://www.kztechs.com/sreng/download.html
扫描个新的2.6版的SRENG日志来。

:kaka7: 刷新了一下不见了，楼主再扫日志记得用附件上传
那个空文件夹是卡卡生成的免疫文件夹

谢谢楼上，我刚用最新的SREng重新扫描过，见附件。

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\config.dll
c:\windows\system32\regsvr.exe
c:\windows\system32\f2e5a99d.exe
c:\windows\system32\3e98b5b2.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[N/A]    <C:\WINDOWS\config.dll 2>
[Yahoo Messengger]    <C:\WINDOWS\System32\regsvr.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[E070797 / E070797]    <C:\WINDOWS\System32\F2E5A99D.EXE -d>
[CC761492 / CC761492]    <C:\WINDOWS\System32\3E98B5B2.EXE -k>

3、下载windows清理助手清理系统
http://www.arswp.com/download/arswp/arswp2.rar

该用户帖子内容已被屏蔽

c:\windows\system32\drivers\soundwav.sys
这一项比较可疑，楼主上传自己检测一下
http://virusscan.jotti.org/  http://www.virscan.org/  http://www.virustotal.com/zh-cn/

回复玩家国度：这四个文件都找不到，在SREngLOG中已显示file is missing
回复zg1_2004：刚用你说的LSP试过了，无法恢复正常，还是停用状态
回复fillix：soundwav.sys文件在drivers下也找不到

新日志看看

新日志在三楼

[GPKiller / GPKiller][Running/Auto Start]
  <\SystemRoot\system32\drivers\gpkiller.sys><Yahoo!>
禁用/删除驱动

[GPKiller / GPKiller][Running/Auto Start]
  <\SystemRoot\system32\drivers\gpkiller.sys><Yahoo!>
这个貌似正常，是个雅虎的灰鸽子专杀的驱动

这一项有问题，Spectrum24 Events Monitor 服务不是这样的
Spectrum24 Events Monitor / IPRIP]   
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\acss.dll>

删除C:\WINDOWS\System32\acss.dll并禁用服务

日志里我觉得有问题的就这些：
启动项
[Yahoo Messengger]    <C:\WINDOWS\System32\regsvr.exe>
[N/A]    <C:\WINDOWS\config.dll 2>

服务
[Windows DHCP Service / WinDHCPsvc]    <C:\WINDOWS\System32\\rundll32.exe windhcp.ocx,input>
[Spectrum24 Events Monitor / IPRIP]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\acss.dll>
[Spplication Layer Gateway Serv / Spplication Layer Gateway Serv]    <>
[E070797 / E070797]    <C:\WINDOWS\System32\F2E5A99D.EXE -d>
[CC761492 / CC761492]    <C:\WINDOWS\System32\3E98B5B2.EXE -k>

驱动
[soundwav / soundwav]    <\SystemRoot\system32\drivers\soundwav.sys>

至于Autorun.inf空文件夹，那是卡卡助手生成的免疫文件夹，正常的。

pagefile.sys是虚拟内存页面文件，你可以自己去设置虚拟内存大小，不过推荐还是由系统自动管理比较好。

注册表编辑器打不开可以用卡卡助手，高级工具——系统修复，把其中异常的都修复

谢谢！注册表已经修复好了，可是很奇怪，那个ACSS.DLL在system32里却找不到，显示所有文件也找不到。请问还有什么好办法吗？

:default7:  看下最新日志。

从你的日志看，这个服务并没有启动

[Spectrum24 Events Monitor / IPRIP][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\acss.dll><N/A>

可能这个文件已经没有了，所以服务才不能正常启动的。
可以用冰刃去找找看，如果找不到，应该就是文件已经没了，只要把服务项删掉就可以了。