笔记本电脑莫名放歌~或其他声音~ 关掉所有东西后还是有阿~ bbs.ikaka.com

kokomor - 2008-10-18 21:04:00

持续20S左右后就没了~~ 是什么病毒阿？

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648)

aaccbbdd - 2008-10-18 21:07:00

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

kokomor - 2008-10-18 22:11:00

引用:

原帖由 aaccbbdd 于 2008-10-18 21:07:00 发表
解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

附件: SREngLOG.log

附件: Report.txt

aaccbbdd - 2008-10-18 22:22:00

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.8下载地址： http://www.dodudou.com/down/index.php?dirpath=./01.%D4%AD%B4%B4%C8%ED%BC%FE&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\mpg2splt.ax
c:\windows\winsh10d.dll
c:\windows\system32\drivers\3m5yx.sys
c:\windows\system32\drivers\3m5yx.sys
c:\windows\downloaded program files\clearadjust.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项禁用：
[pryrege / pryrege] <>
[3m5y / 3m5yx] <\SystemRoot\System32\DRIVERS\3m5yx.sys>
[pryrege / pryrege] <>
[pryrege / pryrege] <>
[pryfile / pryfile] <>
[pryfile / pryfile] <>
[3m5y / 3m5yx] <\SystemRoot\System32\DRIVERS\3m5yx.sys>

kokomor - 2008-10-22 19:27:00

[pryrege / pryrege] <>
[3m5y / 3m5yx] <\SystemRoot\System32\DRIVERS\3m5yx.sys>
[pryrege / pryrege] <>
[pryrege / pryrege] <>
[pryfile / pryfile] <>
[pryfile / pryfile] <>
[3m5y / 3m5yx] <\SystemRoot\System32\DRIVERS\3m5yx.sys>

这里面我的电脑里只有3m5y有,我用SRENG设置成disabled，但是其他的文件我没找到。

现在电脑跳出来说
C:\WINDOWS\winsh10d.dll 出错
丢失条目:fnOpen

超级游戏迷 - 2008-10-22 19:32:00

2楼遗漏了一个注册表IFEO项。

建议：
开始--运行--输入regedit.exe--回车，进入注册表编辑器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antiarp.exe]这个注册表子项，右键之选择“删除”，之后关闭注册表编辑器，再重启电脑，重启后，那提示应该没了。

kokomor - 2008-10-22 19:59:00

删除了又有~~怎么回事啊

超级游戏迷 - 2008-10-22 20:14:00

扫描上传新日志……

kokomor - 2008-10-22 20:25:00

引用:

原帖由 超级游戏迷 于 2008-10-22 20:14:00 发表
扫描上传新日志……

拜托了~~

附件: SREngLOG.log

超级游戏迷 - 2008-10-22 21:13:00

日志中异常内容如下:
================================
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antiarp.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe]

驱动程序
[3m5y / 3m5yx][Stopped/Disabled]
<\SystemRoot\System32\DRIVERS\3m5yx.sys><N/A>

浏览器加载项
[CTAdjust Class]
{DE22A7AB-A739-4C58-AD52-21F9CD6306B7} <C:\WINDOWS\Downloaded Program Files\clearadjust.dll, N/A>
================================

建议:

拔掉网线后，手动关闭瑞星杀软的监控，然后运行SRENG扫描工具，之后：
1、启动项目--注册表，删除以下红色显示的项目：
<IFEO[antiarp.exe]>
<IFEO[rstray.exe]>
2、启动项目--服务--驱动程序，找到[3m5y / 3m5yx]这个项目，删除（仔细看提示，最后一步要选择“否”）；
3、系统修复--浏览器加载项，找到[CTAdjust Class]这个项目，删除。
4、重启电脑。

kokomor - 2008-10-23 20:21:00

1、启动项目--注册表，删除以下红色显示的项目：
<IFEO[antiarp.exe]>
<IFEO[rstray.exe]>

我在SRengs里有这两个东西,也是红色的,但是我不能删除它们,这是怎么回是?
第2 、3步骤里的文件我完成了。
重启后还是跳出框说“C:\WINDOWS\winsh10d.dll ”，而且是两个。

超级游戏迷 - 2008-10-23 20:28:00

拔掉网线的情况下，暂时禁用瑞星全部监控（右键瑞星在系统托盘的图标），再删除那两个红色项目，删除后请立即重启电脑。

弄完后发个新日志上来……:default71:

kokomor - 2008-10-24 7:00:00

我电脑右下角任务栏里我什么都没有开啊~ 还是不能删除这两个红色项目!

超级游戏迷 - 2008-10-24 9:11:00

进入注册表编辑器，对[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]这个注册表子项目设置权限，给当前用户赋予“完全控制”的权，然后应该可以对其下级子项进行删除操作。

冰刃以SYSTEM帐户身份运行，应该可以删除这两个注册表项。运行冰刃，找单击“注册表”标签，找到以下注册表子项，右键选择“删除”：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antiarp.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe]

kokomor - 2008-10-24 18:13:00

现在这个[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下面没有antiarp.exe了，但是还有框跳出来啊！~~虽然SReng的启动里也没有那两项红色的了~

kokomor - 2008-10-24 18:14:00

引用:

原帖由 超级游戏迷 于 2008-10-24 9:11:00 发表
进入注册表编辑器，对[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]这个注册表子项目设置权限，给当前用户赋予“完全控制”的权，然后应该可以对其下级子项进行删除操作。

冰刃以SYSTEM帐户身份运行，应该可以删除这两个注册表项。运行冰刃，找单击“注册表”标

刚刚扫描的~~

你说的“冰刃”是什么东西？

附件: SREngLOG.log

aaccbbdd - 2008-10-24 18:23:00

应该正常了

冰刃？icesword
著名安全软件

超级游戏迷 - 2008-10-24 19:14:00

找到c:\windows\tasks双击运行，删除出现对话框中的msupdatetask这个项目，应该可以搞定了。

kokomor - 2008-10-24 19:25:00

引用:

原帖由 超级游戏迷 于 2008-10-24 19:14:00 发表
找到c:\windows\tasks.exe双击运行，删除出现对话框中的msupdatetask这个项目，应该可以搞定了。

我没找到这个文件啊,只有一个tasks的文件夹里面有这个msupdatetask，删除后还是生成。

多问一句，我电脑中木马或病毒了吗？

超级游戏迷 - 2008-10-24 19:31:00

就是它，你说的没错。

会再生？晕，重启电脑看看……:default2:

kokomor - 2008-10-24 19:34:00

是真的阿 msupdatetask 这个文件再生的。。我看着就再生了。。

超级游戏迷 - 2008-10-24 19:54:00

C:\windows\tasks目录下的msupdatetask这个文件（真实文件名应为msupdatetask.obj）可能是根源所在，可以用瑞星杀毒软件的主动防御功能查查是什么进程释放了它。

另外，也可以尝试用WINDOWS清理助手清理下看看。

kokomor - 2008-10-24 20:13:00

我修改了这个程序的结束时间,现在好象暂时好了~~

msupdatetask原来设定的是从1999年1月1日到2018年12月31日,每天从00:00开始,每3分钟运行一次,维持24小时.....这个应该是病毒修改的吧~

超级游戏迷 - 2008-10-24 20:19:00

引用:

原帖由 kokomor 于 2008-10-24 20:13:00 发表
我修改了这个程序的结束时间,现在好象暂时好了~~

msupdatetask原来设定的是从1999年1月1日到2018年12月31日,每天从00:00开始,每3分钟运行一次,维持24小时.....这个应该是病毒修改的吧~

看看这个：http://vi.duba.net/virus/win32-troj-agent-ie-302080-50829.html

瑞星卡卡安全论坛