瑞星卡卡安全论坛

大侠们：

      每个盘里都出现Pictures.exe这个文件删不掉，用威金专杀工具杀不掉。

    把Pictures.exe删除后，再开机启动就能看到注册表被修改，瑞星虽然是禁止的，但是还是被修改了，Pictures.exe就又出来了，有什么专杀工具没有啊

    郁闷中.................


    扫描文件见附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; CIBA)

附件: SREngLOG.log

:default8: 帮帮忙阿

:default8: 不要沉啊

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\system32\dllcache\svchost.exe

不论删除结果如何,立即重启电脑，继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》系统修复》文件关联》修复文件关联

————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，看情况怎样

打包Pictures.exe上传“可疑文件交流”版

谢谢你们的回复，有没有简单的方法阿，太复杂了操作不了

c:\windows\system32\dllcache\svchost.exe
将这个文件压缩为RAR，日志未见PICTURE.EXE信息
可将你找到的PICTURE.EXE也压缩为RAR

鼠标右键点文件，选择添加到压缩文件，然后选择保存目录（浏览）


将压缩包上传到论坛可疑文件交流区

我打包成压缩文件了，可是放不上去，上传后看不到文件

C:\WINDOWS\system32\dllcache没有这个文件阿，
只有C:\WINDOWS\system32\svchost.exe
要不要删除？

:kaka3: :kaka3:

那个删除
基本系统KO了:kaka6:

dllcache？
开始-运行-dllcache
就进入该文件夹了
上传新日志看看

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

现在是这样的
我按照天月来了的方法操作了一遍
就是没有删除C:\WINDOWS\system32\svchost.exe
然后其它的一样

现在的情况是picture.exe不见了
注册信息表依然被修改
出现了个文件夹叫picture,是空的文件夹
现在进入了开始-运行-dllcache，找不到svchost.exe

55555555555，完全晕了

现在突然知道为什么变成文件夹了，用费尔木马强力清除助手,勾选“抑制文件再生”删除不起作用了

http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=8560397#9069747

冰刃
下载
http://www.onlinedown.net/soft/53325.htm

:kaka11:

MS结束掉dllcache\svchost.exe后 该文件会自动删除

就是个因为有dllcache\svchost.exe在守护着 所以日志中无法显示BttnServ.exe对应的启动项目

删除后就了事了

PS：至于你说的出现相同文件名的文件夹 那是费尔抑制再生创建的文件夹  不要担心

新的日志，还有问题么

附件: SREngLOG.log

应该正常

用冰刃在进程中结束dllcache\svchost.exe  结束了

删除文件
%windir%\system32\dllcache\svchost.exe      没有这个
%windir%\system32\GroupPolicy\BttnServ.exe;   删除了

删除各分区根目录下的Pictures.exe;      删除了

删除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CPQEASYBTTN      没有这个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default);              删除不掉


我把picture的文件夹删掉后，picture.exe又回来了，开机后明显可以看到被修改的注册表就是你说要删除的，可是冰刃中的结果就是一个没有，一个删除不掉。

怎么办？？？？

我突然想起来，我用360在安全模式下已经把%windir%\system32\dllcache\svchost.exe 删除了

用XDelBox勾选抑制再生后删除文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。




把要删除的文件用这个东西删除后重起  再认真去找注册表

我还发现一点，就是我不用飞信，开机重起注册表也没事，只要打开飞信，就出现注册表被修改的问题。

用冰刃在进程中结束dllcache\svchost.exe    进程中已经没有了
删除文件
%windir%\system32\dllcache\svchost.exe      没有这个
%windir%\system32\GroupPolicy\BttnServ.exe;  删除了

删除各分区根目录下的Pictures.exe;      删除了

删除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CPQEASYBTTN      没有这个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default);              删除不掉

DEFAULT是无法删除的，也不需要删除
把它双击编辑为空的即可

根本就没有，你删除啥？

http://bbs.ikaka.com/showtopic-8560657.aspx

看这个帖子的第二个图。病毒进程名svchost.exe的实质是%windir%\system32\dllcache\msnpcl.dll
要删除的是这个DLL。

猫叔

为何SRENG显示的路径不正确？

路径没错。我扫过这个毒的SRENG。

进程名是svchost.exe，该进程中实际运行的程序是那个dll。

意思是
svchost进程被注入病毒DLL？

不是进程注入

晕了
猫叔
太难了
:default3:
什么叫

\dllcache\svchost.exe
实际运行的是DLL

通过什么实现的？

http://bbs.ikaka.com/showtopic-8560657.aspx
看上面这个帖子的图2

另：\dllcache\svchost.exe这个程序已经被病毒删除。如果条件允许，实机运行一下病毒样本就明白了。