急啊~~~~~可能是强劲木马，从没见过的，请大家看看怎么回事！！1！ bbs.ikaka.com

瑞星卡卡安全论坛

不过想 - 2008-10-26 3:21:00

电脑隔段时间就会自动运行“精华视频推荐酷6网”和“琥珀网 ”视屏程序，但是电脑上不显示出来，但是有声音出，好像是在介绍节目新闻，只能经过任务管理器发现和强制关闭，用了瑞星也不行啊！！！请大家分析是什么回事！！！！:default30:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; CIBA)

aaccbbdd - 2008-10-26 9:15:00

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

咕噜猪zzZ睡觉觉 - 2008-10-26 10:00:00

可能是流氓软件，尝试使用windows清理助手或者超级兔子之类的扫扫看

不过想 - 2008-10-26 12:26:00

经过瑞星检测是中了一个“Backdoor.Win32.RemoteABC.sk”，但是杀不了~~怎么办？请大家帮帮忙

aaccbbdd - 2008-10-26 12:48:00

日志呢？

没日志
没法解决（除了重装系统）

天云一剑 - 2008-10-26 12:59:00

请下载一个SRENG工具(点击进2楼下载)
使用它扫描日志，将日志作为附件上传上来。

1、下载后解压缩保存到系统文件夹内
2、把SREngLdr.exe改名为123.BAT运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】，存为TXT格式；
5、将保存的报告附件上传而不是粘贴到帖子

不过想 - 2008-10-26 13:38:00

这样子可以吗？麻烦大家了~~~~希望大家指点下

附件: SREngLOG.TXT

aaccbbdd - 2008-10-26 13:42:00

[Logical Disk Manoager / Logical Disk Manaoger][Running/Auto Start]
<C:\WINDOWS\compmigmto.msc><N/A>
[MeetingShartsGtesyCom / ShartsGtesyCom][Stopped/Auto Start]
<C:\Program Files\Internet Explorer\Connection Wizard\inetw.exe><N/A>
可疑

[cimxzy / cimxzy][Stopped/Auto Start]
<C:\WINDOWS\system32\sVCHost.eXe -k cimxzy-->%SystemRoot%\SYSTem32\vdlfuk.dLL><N/A>

看着:default3: :default3:

aaccbbdd - 2008-10-26 14:00:00

建议：
附件（解压后运行）删除文件
C:\WINDOWS\system32\sVCHost.eXe（不是svchost.exe！）

C:\WINDOWS\system32\SYSTem32\vdlfuk.dLL
C:\Program Files\Internet Explorer\Connection Wizard\inetw.exe

SRENg-启动项目－－服务－－ Win32服务应用程序之如下项删除

(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）
[MeetingShartsGtesyCom / ShartsGtesyCom][Stopped/Auto Start]
<C:\Program Files\Internet Explorer\Connection Wizard\inetw.exe><N/A>

[cimxzy / cimxzy][Stopped/Auto Start]
<C:\WINDOWS\system32\sVCHost.eXe -k cimxzy-->%SystemRoot%\SYSTem32\vdlfuk.dLL><N/A>

附件: 费-尔-文-件删-除-工-具.rar

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

lenovopeng - 2008-10-26 15:12:00

哇 !好历害啊 !

huyingji09 - 2008-10-26 22:09:00

用瑞星杀毒软件最新版扫描全盘并杀毒。如无法杀除又要求解压缩之类的提示，记录下其文件名、位置.
重新启动计算机,点击F8选进入安全模式.
打开系统盘的WINDOWS文件夹,在工具.文件夹选项.查看里把隐藏受保护的操作系统文件项前面的勾去掉,在下面选中显示所有文件和文件夹.
找到查杀病毒时记录下病毒的文件名、位置,右键手工删除.

竹本无ベ - 2008-10-26 22:22:00

C:\WINDOWS\system32\sVCHost.eXe是正常文件。

happysunday2003 - 2008-10-26 22:29:00

sVCHost.eXe

从名字来分析好像是正常文件

但是想下

正常的文件名字是svchost.exe

为什么是sVCHost.eXe呢？

天云一剑 - 2008-10-26 22:56:00

进行修改了大小写，从而躲过查杀，有这种可能
将该文件上传到www.virustotal.com查看即可

不过想 - 2008-10-27 16:58:00

C:\WINDOWS\system32\sVCHost.eXe是正常的，删除后所有文件不能移动，不能复制和粘贴~~~~~~~~~~~无奈之下还原~~~但是病毒还在~~:default20:

查看完整版本: 急啊~~~~~可能是强劲木马，从没见过的，请大家看看怎么回事！！1！