瑞星卡卡安全论坛

任务管理器,注册表,各类杀毒工具都无法打开,安全模式无法进入.电脑桌面有奇怪图表的文件.执行重启命令要等近半个小时才能正常熄灭机器重启.感觉自己被病毒强奸了...

__附近1是用瑞星听疹扫描的(因为sreng根本无法运行).附近2是另外一台也有病毒的机器用sreng扫的.

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

附件: 瑞星听诊信息.rar

附件: SREngLOG.log

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif -->  [File is missing]><N>
把杀毒软件升级到最新版本，断网进入安全模式全盘查杀。连杀两次，两次之间重启一下电脑。

我的天...又是这敷衍的方法.我重装过了.可还是染毒.

看了你的日志，你的电脑中还是有
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif
以上病毒文件。所以请你按照3楼的办法操作。

C:\WINDOWS\system32\dllcache\wuauclt.exe、C:\WINDOWS\system32\wuauclt.exe这两个系统文件被病毒替换了，需要优先用正常文件替换。

以下是日志显示的问题项目：
===========================================================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <internetnet><C:\WINDOWS\system32\wuauclt.exe>  [(Verified)]
    <20040927-1148><.vbe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE]
    <IFEO[360rpt.EXE]><C:\WINDOWS\system32\dllcache\wuauclt.exe>  []
……………………………………（此处省略无数个病毒添加的IFEO项）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE]
    <IFEO[WOPTILITIES.EXE]><C:\WINDOWS\system32\dllcache\wuauclt.exe>  []

驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[sys_hkt / sys_hkt][Others/Disabled]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~65.tmp><N/A>

浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush1.dll, >
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Aseo\pbhealth.dll, AMD Thulo-Kenny George's incredible size is his >
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, (Signed) http://www.chinarank.org.cn>
[网站排名工具条]
  {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} <C:\Program Files\zzToolBar\ToolBand.dll, (Signed) http://www.chinarank.org.cn>
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush1.dll, >
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Aseo\pbhealth.dll, AMD Thulo-Kenny George's incredible size is his >
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\zzToolBar\Toolbar_bho.dll, (Signed) http://www.chinarank.org.cn>

正在运行的进程（仅指插入系统核心进程的病毒DLL文件）
[PID: 588 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
    [C:\WINDOWS\system32\winlib .dll]  [N/A, ]

Autorun.inf
[C:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=GSR.PIF shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=GSR.PIF
[D:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=GSR.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=GSR.PIF
[E:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=GSR.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=GSR.PIF
[H:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=GSR.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=GSR.PIF
[I:\]
[AutoRun]
shell\open=打开(&O)
shell\open\Command=GSR.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=GSR.PIF

进程特权扫描
特殊特权被允许： SeDebugPrivilege [PID = 1860, C:\WINDOWS\SYSTEM32\WUAUCLT.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1860, C:\WINDOWS\SYSTEM32\WUAUCLT.EXE]
===========================================================================

能否给出一个完好的解决方案?:default7:

SRENG根本无法运行的那台电脑

具体怎么个无法运行？？

听诊器日志也只看到这个启动项
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
还有可疑进程：
C:\WINDOWS\SYSTEM32\WACCLT.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSTEM32\WINLIB .DLL
C:\WINDOWS\SYSTEM32\WANPACKET.DLL

————————————————————————
至于另一个能扫描SRENG日志的，就你楼上说的那些了

如果不改文件名运行就根本打不开软件,改了名字能进入,但无法进行操作...

找任何一个分区根目录下的GSR.PIF，打包，发到“可疑文件交流”。

将SRENG改名为321.pif
放到C盘根目录
然后开始-运行-CMD回车
cd\ 回车
321.pif /escan回车，
等扫描完把桌面的SRENG报告（SREngLogEm.LOG）拷出来上传

安全模式下杀毒  呵呵:default5:

:default11:
晕忽忽~~~为什么中这个病毒以后会感染到整个局域网内的机器，还会造成网络阻塞。

有些病毒就是通过网络来传播的,一台机器有,网内的所有机器很快都会有的~~