瑞星卡卡安全论坛

我新买的电脑，才上网三天，就出现如下问题。  用瑞星杀毒软件杀不到毒。卡卡也说没问题。
1：  我的电脑开机后，鼠标一直处于在执行命令的符号，长达二分钟左右。好像有很多进程在运作。
2：  debug.exe总是要访问网络，并且约一分钟就一次，很烦。为什么


我是一个菜鸟，什么也不懂。大家帮帮忙，谢谢了。:default2:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; .NET CLR 2.0.50727)

还有我让防火墙阻止了一个想访问网络的进程

windows/lgtu.exe

请问这个是什么进程啊。有毒吗？

操作系统运行的时候，确实有一些东西是在后台自动运行的，不需要你来干预。比如，REAL播放器安装后，就会在后台启动一个自动升级监视程序，一旦发现real播放器有更新的版本或者有补丁可用，就会自动下载这部分程序，并提示你安装，除此这外还有很多可能。比如windows update的自动补丁下载、西部数据品牌的硬盘在累计运行8小时后就会开始数据完整性检查，等等。
当然不排除你的机器感染木马病毒，被人后台操纵的可能。

当然不一定要和黑屏自动关机联系在一起，这很有可能是你的系统风扇运行不正常，造成系统过热，自动保护关机。

debug.exe  是个木马。。
建议在安全模式下进行查杀。。

上传sreng日志吧，估计你中病毒了
顺便说，debug.exe本身不是木马

先修复一下系统吧,然后在重启看~

谢谢大家，日志怎么上传？我不会:default2:

windows清理助手清理一下系统(未签名的那些不要选择删除)

SREng扫描日志

扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

1、下载后解压缩，运行SREngLDr.EXE；
2、如果无法打开尝试把SREngLDr.EXE改名为123.com，并复制到c:\windows目录下运行；
3、点击【智能扫描】-【扫描】 ，扫描结束后点击【保存报告】 ；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、两种方式任选其一上传sreng报告
    将报告内容全部复制后直接作为回帖内容贴出
    或将报告作为附件的形式上传（点右下角的引用，就知道怎么上传附件啦

谢谢了，我这就下载上传。:default5:

晕。我去下载清理助手时，安装了迅雷，电脑说系统资源不足。装不了。然后网页定死了，我关掉了一个，结果所有网页全关了。
这样吧，我先把我在别处用软件分析的结果给大家看一下。帮我看看中了什么毒！:default2:

在电脑里运行msconfig，说找不到。郁闷。还有电脑显示器的分辨率好像只有60赫兹的选项，原来是齐的。
以下是我查的内容，帮忙看下。谢谢了。
-------------------进程及其启动命令-------------------------
-
  PROCESS            PID COMMAND LINE
smss.exe            608 \SystemRoot\System32\smss.exe
csrss.exe            668 C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
winlogon.exe        700 winlogon.exe
debug.exe            720 C:\WINDOWS\system32\debug.exe
services.exe        756 C:\WINDOWS\system32\services.exe
lsass.exe            768 C:\WINDOWS\system32\lsass.exe
Ati2evxx.exe        940 C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe          968 C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe        1064 C:\WINDOWS\system32\svchost -k rpcss
CCenter.exe        1168 "C:\Program Files\Rising\Rav\CCenter.exe"
svchost.exe        1184 C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe        1272 C:\WINDOWS\system32\svchost.exe -k NetworkService
svchost.exe        1384 C:\WINDOWS\system32\svchost.exe -k LocalService
Ati2evxx.exe        1420 Ati2evxx.exe -Client
ravmond.exe        1564 "C:\PROGRAM FILES\RISING\RAV\ravmond.exe" -step
rfwsrv.exe          1600 C:\软件\瑞星系列\Rising\Rfw\rfwsrv.exe
rfwProxy.exe        1648 C:\软件\瑞星系列\Rising\Rfw\rfwProxy.exe
rfwstub.exe        1964 "rfwstub.exe" -rfwsrv
Explorer.EXE        220 C:\WINDOWS\Explorer.EXE
RavStub.exe          436 "C:\PROGRAM FILES\RISING\RAV\RavStub.exe" /RAVMOND=1023
spoolsv.exe          536 C:\WINDOWS\system32\spoolsv.exe
RTHDCPL.EXE        1792 "C:\WINDOWS\RTHDCPL.EXE"
MOM.exe            1852 "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM"
rstray.exe          1836 "C:\软件\瑞星系列\rstray.exe" /startup
RavTask.exe        2012 "C:\Program Files\Rising\Rav\RavTask.exe" -system
Rundll32.exe        2068 "C:\WINDOWS\system32\Rundll32.exe" C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
Ravmon.exe          2080 "C:\Program Files\Rising\Rav\Ravmon.exe" -SYSTEM
ctfmon.exe          2232 "C:\WINDOWS\system32\ctfmon.exe"
ccc.exe            2444 "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe" 0
LSSrvc.exe        10924 "C:\Program Files\Common Files\LightScribe\LSSrvc.exe"
NBService.exe      11020 "C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe"
wdfmgr.exe        11152 C:\WINDOWS\system32\wdfmgr.exe
alg.exe            11484 C:\WINDOWS\System32\alg.exe
Rsaupd.exe        48884 "C:\软件\瑞星系列\Rsaupd.exe" AutoUpdate
暗凶改进版.EXE    57008 "C:\Documents and Settings\user\桌面\暗凶改进版.EXE"
conime.exe        57024 C:\WINDOWS\system32\conime.exe
cmd.exe            57032 cmd.exe /c C:\DOCUME~1\user\LOCALS~1\Temp\bt7553.bat
暗凶门诊.com      55484 暗凶门诊.com -l
-
-------------------注册表启动项-------------------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    StartCCC    REG_SZ    "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    RTHDCPL    REG_SZ    RTHDCPL.EXE
    Alcmtr    REG_SZ    ALCMTR.EXE
    NeroFilterCheck    REG_SZ    C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
    runeip    REG_SZ    "C:\软件\瑞星系列\rstray.exe" /s
    RfwMain    REG_SZ    "C:\软件\瑞星系列\Rising\Rfw\rfwmain.exe" -S
    RavTask    REG_SZ    "C:\Program Files\Rising\Rav\RavTask.exe" -system
    stup.exe    REG_SZ    Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
    KernelFaultCheck    REG_EXPAND_SZ    %systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RsAutorunsDisabled

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    ctfmon.exe    REG_SZ    C:\WINDOWS\system32\ctfmon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\RsAutorunsDisabled

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
-
-------------------引导执行----------------------------
-
-------------------初始程序----------------------------
-
-------------------资源管理器加载项---------------------
-
-------------------IE加载项----------------------------
-
-------------------映像劫持----------------------------
-
-------------------HOSTS文件内容----------------------------
-
-------------------各个盘的autorun.inf----------------------------



是不是有毒啊。

暗凶改进版.EXE    57008 "C:\Documents and Settings\user\桌面\暗凶改进版.EXE" 。
这个是分析软件。

cmd.exe            57032 cmd.exe /c C:\DOCUME~1\user\LOCALS~1\Temp\bt7553.bat
REG.EXE
应该是有问题的项目 不过你这个软件分析的不够全面 没有服务和驱动项的扫描
还是上传sreng的日志看看吧

谢谢了，我刚下载了，连安装软件都说系统资源不足，就不给装了，晕倒。米办法重启后终于安装上了。刚运行WINDOWS清理助手时，瑞星找到七八个毒，然后运行sreng2时瑞星告诉我，什么注意：我的注册表什么XX函数已修改。

晕咯。我马上就可以扫描了，马上传上来。:default5:

附件: 扫描报告SREngLOG.log

http://www.onlinedown.net/soft/53325.htm
这里下载冰刃，解压后运行，依次点“文件-设置-选中‘禁止进程线创建’-确定”，然后在进程中结束debug.exe，在【文件】那一项中找到以下文件删除：

C:\WINDOWS\System32\BServer.dll
C:\WINDOWS\system32\debug.exe
C:\WINDOWS\system32\comctl32.dll


删除以上文件后，一定要拷贝正常的debug.exe和comctl32.dll文件粘贴到C:\WINDOWS\system32\文件夹中，否则可能会无法启动系统

并且是相同系统的拷贝，你的是xp-sp2，要找和你系统一样的来复制

删除后用SREng修复：

启动项目--服务-- Win32服务应用程序 设置为disabled

[Server / lanmanserver][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\BServer.dll><N/A>

谢谢楼上的朋友，我是菜鸟，我有几个不懂的。
一。 正常的debug.exe和comctl32.dll我没有，不知道在哪里有。
二。 SRENG我打开时，说里面有一个值被修改，原来是空的。另在启动项目里有一个AppInit_Dlls
三。SERNG修复的问题。我不会用啊。

能不能加我QQ，帮帮我吧。谢谢了。我QQ：156991808  一般晚上在线。:default2:

这个应该不是病毒应该是系统的问题吧

fillix:
        今天你不辞辛苦，从今天凌晨十二点一直帮到我现在，终于将我电脑里的毒删了。同时也给了我电脑里缺失的一些文件。

      作为一个南京的网民，我真的很感谢你。正因为网上有你这样的好网民。真诚乐观。乐于付出。勤于助人。才使得网上的“真，善，美”一一体现出来。 建议贵版班竹给予他相应的激励。
        最后，祝你学业有成，心想事成。相信你今后一定会过的潇潇洒洒，事业有成！


          :default5:    -----------------      一位南京求助的朋友

                                                                                                公元二00八年09月20日凌晨