瑞星卡卡安全论坛

1、原来的现象
      XP系统，正常使用，先是瑞星自动关闭，无法点开。然后有一天突然起不来了。采用安全模式启动，结果只能启到四个角显示“安全模式”，其它什么也没有。唯一能动的就是光标。于是恳请大虾们给于帮助。:default3:
2、第一次处理(在高手指导下)
      将硬盘作为其它机子的副盘，启动后用瑞星全盘杀毒，杀出5个木马病毒(名称不记得了)。然后赶紧把C盘上有用的数据拷贝出来，准备可能的重新装系统。:default21:
      再将硬盘装到原来的机子上，能启动了。紧接着，升级瑞星杀毒软件和防火墙，全盘杀毒，全盘扫描(问题不少，5个致命)，打补丁。重新启动后，一切看似恢复到原状。:default22:
3、第一次处理后的问题
      修复后联网、常用软件等均运行正常， 但“任务管理器”打不开。:default27:
4、第二次处理(继续得到了高手指导)
      先判断原有任务管理器软件是否被改变，采用另外机子上好的taskmgr.exe替代原有的taskmgr.exe，结果仍然不能执行。:default8:
      将日记发给高手分析，确定是“印象持劫”引起的，然后按下列步骤处理：
    (1)用机器狗&映像劫持修复工具修复；
    (2)用XDelBox(我已下载)删除不正常的文件；
    (3)重启后，用SREng删除注册表和驱动程序中的不正常项。
    处理完后，就可以正常启用任务管理器了。:default7: 
5、现状
      一切正常，与原来的运行情况一样。:default6:
6、致谢
    在这次病毒处理中，得到许多高手的指导，同时也参考了安全论坛上其它的帖子，在此一并表示衷心感谢。:default51:
      这次处理过程，本人对病毒有了进一步的了解，初步学会了一些专业工具的使用，颇有收获。除应感谢指导我的高手外，更要感谢卡卡提供了一个很好的平台，使得我们这些菜鸟能依靠这个平台向大虾们学习，逐步得到提高。:default42:

杀毒软件打不开可参考此贴：http://bbs.ikaka.com/showtopic-8547280.aspx 操作后将杀毒软件升级到最新版全盘杀毒。

小狮子，谢谢您的关心。您的建议必须系统启动后才能完成吧，可我现在是进不了系统。C盘上还有些数据不能删掉，再帮我想想，还有什么招。再次谢谢！:default2:

正常模式也无法进入吗，可在选择进入安全模式的菜单项，选择最后一次正确配置能否进入系统。:default7:

都试过了，进不了系统。现在我正在另外一台机子上杀毒呢，不知装回去能否起得来。:default1:
希望继续得到你的帮助。谢了！

挂从盘这个方法也行，先将系统的重要数据可以拷贝出来，挂从盘杀毒后，装回去后能进入系统，安装杀毒软件升级到最新版在进行一次全盘杀毒。

正在杀呢，今天恐怕弄不完了，明天再向你汇报情况。:default7:

小狮子：
在别的机子杀了几个木马病毒，装到原机上后能启动了。按你所说，先升级后全盘杀毒。现在好像正常了，就是任务管理器打不开，不知什么原因。
望能赐教。
谢了！

任务管理器无法打开，可使用卡卡助手-高级工具-系统修复，修复一下系统，应该可以使用任务管理器了。

谢谢帮助，请看编辑后的原贴。

机子不在身边，晚上再试。谢谢！:default7:

是被管理员停用还是根本没反应？

用解压工具WinRAR依路径打开C:\WINDOWS\system32\和C:\WINDOWS\system32\dllcache文件夹

将这两文件夹内的taskmgr.exe文件压缩后发来看看

用户肯定没有有意停用“任务管理器”，也不知道如何停。现在是点击任务管理器时，只见光标短时间处于忙碌状态，然后就没其它反应了。:default42:

晚上我回附上来的。:default78:

还要记得顺便

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志完整发这论坛来。不要有遗漏。

应该是注册表中被禁用了，可以使用卡卡助手恢复，也可以进入注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dWord:00000000 修改为如此值，或者将该项删除。即可恢复任务管理器的使用。

已经下了SRENG的正式版，回头去扫。晚上发上来，谢了！:default6:

以前采用修改注册表的方法处理过其它现象，这次我也想这样弄的，可惜本人太菜，实在找不到该修改的地方。谢谢！:default20:

可以将上面提到的注册表修复内容，写在记事本上，另存一个.reg文件，出现错误时，导入就行了。另外一个比较简单的方法：去瑞星网站下载个注册表修复工具，地址如下：
http://dl.rising.com.cn/DownLoad ... 9209418d46496.shtml
下载后修复一遍也可以恢复任务管理器的使用的。

这次木马群病毒会替换任务管理器原文件

所以暂时不要随意折腾注册表

先看任务管理器文件是否被病毒替换再说

感谢帅哥，我记住了。:default6:

对啊，这是病毒作弄人的最简单的办法。具体怎么看是否被替代了呢?:default1:

任务管理器原文件就是我在13楼说的：

C:\WINDOWS\system32\taskmgr.exe文件

你可以先看看你现在这台电脑里任务管理器文件的图标熟悉一下，然后回去看看图标是否异常

应该你的任务管理器文件已经不是原来的了

你要是有U盘就复制一个相同系统里的任务管理器带回去替换吧

记住要先替换C:\WINDOWS\system32\dllcache文件夹里的taskmgr.exe文件。

然后再替换C:\WINDOWS\system32\文件夹内的taskmgr.exe文件。

C:\WINDOWS\system32\dllcache文件夹是隐藏的系统的属性，一般系统默认不显示隐藏的、系统的属性的文件夹。

你可以打开“我的电脑”直接在地址栏里输入C:\WINDOWS\system32\dllcache

然后回车即可打开

在现在这台机子上已找到taskmgr.exe，是C:\WINDOWS\system32\目录下的，图标是个小台式机(这里好像不能贴图)。
按你的方法，我也能看到本机C:\WINDOWS\system32\dllcache下的文件，但找不到taskmgr.exe文件。搜索了一遍也没发现，不知什么原因。:default1:

那是有的系统有，有的系统没有而已

你不管它

只需要按照我的做即可

你贴图干什么，我知道是什么样的。

我是要你自己熟悉它而已

呵呵，好的。:default6:

要想保存C盘文件你可以用一个很笨的方法,就是把硬盘拿到别的电脑里考出来,回头再做系统

我就想尽量不要重做系统，呵呵。:default7: