瑞星卡卡安全论坛

昨晚中的病毒，重装系统之后马上病毒又发作了，症状是卡卡安全助手和杀毒软件都打不开，进程里出现system.exe 我在论坛下载了“木马群”病毒专杀及修复工具查杀了之后 杀毒软件还是不能使用？请问这是什么原因啊？版主帮帮忙，我不想把硬盘全部格式化啊。。。。


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; MAXTHON 2.0)

蝗虫军团。。找个最新的专杀去杀吧。

原因：木马群专杀工具N久没更新了
全格？
不至于
病毒只在C盘



解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

补充一句，我重装了系统，为什么马上又会中毒呢？难道感染了除C之外的盘？

重装系统
中毒？
正常

漏洞太多

建议：重装后
超级兔子升级天使打完漏洞

安装杀毒软件+防火墙再联网

从目前日志
未见auto化发展

谢谢了，真是热心的版主呵呵 回复的这么快 我先试试 不行在CALL你

该用户帖子内容已被屏蔽

老大我要疯了 昨天我又重装了系统，按你的方法我用瑞星防火墙，加QQ医生把所有能修复的漏洞全部修复了 我才上的网。。。
谁知道刚到家一开电脑 又中了这个病毒 我要郁闷死了 为什么会中毒 我真的想不通啊。。。。。。。。。。。瑞星这么开着为什么没有一点作用？？？？我没有进任何不良的网站！！！！现在我的下载都被闭屏了，迅雷打不开 IE自动下载没有反应。。。。。

建议按3楼说的扫描上传SRENG日志

附件: SREngLOG.log

结束进程
C:\WINDOWS\system32\userinit.exe

拷贝一份正常的userinit.exe粘贴到c:\windows\system32\文件夹内
提示替换时选“是”

请问在哪去找正常的userinit.exe？

补充一下我用sreng2的启动项目检测到AppInit_Dlls这个项被修改成kmon.dll 怎么办啊？

我在注册表里把这个值修改成0.显示无法编辑~~~~

这是卡卡助手的文件，无需担心

可是我在网上看AppInit_Dlls这个值正常是0啊·~~而且我用sreng2的启动项目检测说是有病毒 那一项还是显示红色的~~~？

老大别嫌我啰嗦啊 我被这个毒搞怕了。。。重装了2次了 一发错就把我迅雷和瑞星杀毒闭屏掉 我看WINDOWS清理大师说是迅雷被映像劫持。。。我都搞怕了 这次是想彻底把毒都杀掉了

注册表项：HKEY_CLASSES_ROOT\TXTFILE\SHELL\OPEN\COMMAND\
修改:由%SystemRoot%\system32\NOTEPAD.EXE %1修改为C:\WINDOWS\notepad.exe %1
现在瑞星老弹这个出来 是不是我机子的毒又发错了啊 哎~~~:default2:

我不认识这个反正一直点的是拒绝 没让他修改 是毒吗？如果是的话 请问怎么才能彻底查杀掉，谢谢了

不是毒，SRENG无法判断每个条目是恶意软件还是安全软件，这需要人为分辨

如果不放心，可以上传新日志

奶奶的，我也是中了这个破东西了！！幸好系统有备份，但恢复后好像在不知不觉中瑞星绿伞就又没有了！版主兄！！我都试过好多种方法了！！注册表也给删了，（是在安全模式中）然后重启过会还是就出现system.exe这个进程了！！注册表里也又了！！！我快崩溃了！！

有没有人啊，我快急疯了！

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

有没有简单一点的方法啊？

格盘
重装系统比较简单

有关system.exe病毒在网上也有很多处理方法，在这里我告诉大家一个简单实用的方法，由于system.exe病毒发作不易觉察（包括我自己的计算机其实已经中了很久了最近才发现的），该病毒主要表现为你的防火墙或者杀毒软件自动关闭了（前一段时间我经常发现我的卡巴莫名其妙的就关掉了，我就又重新打开，一会儿又关掉了，搞得我很烦躁，当时我没有想到是病毒所致，一直认为是卡巴的原因，呵呵），还有一点就是有时杀毒软件发现了该病毒，但是杀不掉。针对该烦人的病毒，本人介绍一个简单实用的土办法:

1、首先你打开任务管理器（就是ctrl+Alt+Del打开后，点“任务管理器”），在进程里面找到“system.exe”进程并关闭该进程，他就是病毒进程，它伪装得不错，注意不是system进程哦

2、运行注册表程序（regedit.exe）,这个就在“运行”的“打开”栏里面输入“regedit.exe"就可，然后点中注册表的根“我的电脑”后，按F3查找“system.exe”，注意找到这个项时，就删除对应的父项

3、打开我的电脑，点“工具”－>"文件夹选项"->"查看"，将高级设置里面的“隐藏受保护的操作系统文件（推荐）”前面的勾点掉，并选择“显示所有文件和文件夹”，最后点确定。

如果发现你的计算机这两项失灵，请看PS附注
(PS:解决病毒导致隐藏文件失效问题，直接双击运行即可！
  将下面的信息拷到一个文本文件里面去，然后保存，最后将该文本文件的后缀名改为.reg就行了，再只要点击该文件，windows就会提示你导入到注册表成功的信息！


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

如果您不想编辑这段REG文件，或不会编辑这个注册表文件，请直接下载后，双击打开解压包，双击运行文件 UnLock_HidderFile.reg 点确定后即成功导入注册表。重启电脑后，即可正常使用隐藏选项。)

4、在我的电脑中右键打开（很重要，不然又运行了病毒）其中一个驱动盘如Ｃ，你就会发现要根目录下面有两个文件，一个是autorun.ini,另一个是system.exe，将其删除掉，如果此时提示你无法删除，你就重新做第一步第二步（可能由于你不小心激活了ystem.exe)。最后按该方法将其他盘的autorun.ini和system.exe处理掉即可。

转自:http://www.01ruodian.com/BBS

附件: UnLock_HidderFile.rar

楼上那位指的是HB病毒:default3:

这个方法我试过了！！但在第三步的时候我只能看到系统隐藏的文件，找不到AUT...呵呵！！高见！格盘好像有点！！！！！

不上传日志只能格盘了

PS：系统/C盘做过备份没？

用最新的360能杀掉吗