瑞星卡卡安全论坛

用瑞星能查出trojan/win32.undef.gmb病毒,并删处染毒文件,但每次开机就又回来了,怎么办啊!!高手救我!


用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

小弟初来扎到,不懂规矩,见谅.
小弟重装系统N次,发现安完系统就有这个病毒,应该是系统盘上的吧!(纯系统未安装任何驱动).系统盘是朋友据称的正版系统盘!
今天用SRENG扫描后发现一个现象:
系统启动后能搜索到这个secsvr.dll文件,用SRNG扫描后,这个文件搜不到了!
大哥们,帮我呀!!!



附件: SREngLOG7.log

附件: 杀毒历史纪录.txt

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\secsvr.dll
c:\windows\system32\drivers\secdrv.sys没有签名检查一下http://virscan.org/


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Security Server / secsvr]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\secsvr.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[Secdrv / Secdrv]    <system32\DRIVERS\secdrv.sys>

安装个卡卡或金山清理专家把补丁打打。

\C:\WINDOWS\system32\secsvr.dll这个文件用解压工具WinRAR依路径打开找到，压缩复制后发来看看

附件: secsvr.rar

将这secsvr.dll删除

重启电脑再看原位置是否还继续出现

删除secsvr.dll，删空临时文件夹，重启，还有！！！

这里下载超级巡警文件暴力删除工具：
http://bbs.ikaka.com/attachment.aspx?attachmentid=436421
按照内附的操作说明图删除下面文件：

删除：
c:\windows\system32\secsvr.dll

不论删除结果如何立即重启电脑，继续下面操作
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项将启动类型改为“Disabled”
==================================
服务
[Security Server / secsvr][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\secsvr.dll><Microsoft Corporation>

下面项都不认识，不知道什么
==================================
服务
[Power Manager / PowerMng][Stopped/Auto Start]
  <C:\WINDOWS\system32\WmiPvSrv.exe><N/A>
==================================
驱动程序
[WLANADAPTER / WLANADAPTER][Running/Manual Start]
  <\??\C:\WINDOWS\system32\WLanAdapter.sys><N/A>

重启电脑再看怎样

:kaka12: 我的个神啊！终于再也看不到它了!
感激！感激！感激！感激！感激！谢谢版主！
我崇拜你！从此以后你是我唯一的信仰！您的大名将永远被人们歌颂！您....
:kaka12:

偶像，出现点新问题，用SRENG工具将
[Power Manager / PowerMng][Stopped/Auto Start]
  <C:\WINDOWS\system32\WmiPvSrv.exe><N/A>禁用之后，
我的本本CPU从inter(r) core(tm)2 duo cpu T7250 变成了T5750，很是不解，嘿嘿。想请教一下。

那就再次恢复为Auto Start启动类型:default6:

偶像，那这个是什么病毒啊？恢复为AUTO START，病毒又回来了！我现在怀疑是主板上的了，我重装了个2000sp，也有这个病毒！是不是厂家用来超频的东西啊！:default3:

可能是最近刚刚出现的改硬件参数的病毒

金山那面就截获了这个病毒

该病毒见于IBM笔记本

Thinkpad本子？
那个Power Manager 貌似出问题了，或被病毒感染了，降频不可能把cpu T7250 变成了T5750。把那个软件卸载了，把它的安装文件都删了，包括C:\WINDOWS\system32\WmiPvSrv.exe，之后再装那个软件。http://dl.pconline.com.cn/html_2/2/213/id=37646&pn=0.html就有的下。

奸商搞得鬼，找去维权。

据报道
该类改硬件参数病毒检测：
CUP-Z显示的主频处会不断闪烁

建议
WmiPvSrv.exe
C:\WINDOWS\system32\WmiPvSrv.exe
发到可疑文件交流区

我的本子是DELL 1400，Intel(R) Core(TM)2 Duo CPU T7250 @2.00GHZ,
我做过以下实验：
1、重装XP系统（光盘引导，格盘重装），未安装任何软件包括驱动，能搜索到secsvr.dll。安装瑞星后查这个文件，显示病毒。
2、更换2K系统 现象同上。
3、不进行偶像教我的杀毒方法禁用启动项，进入安全模式查看系统信息，显示T5750。
我联系过DELL客服，他们说可能是系统版本造成的！可信么？（个人觉得不可信）。找了个相同型号相同配置的本子，他的本子在安全模式下就是T7250，我可怎么办啊！
老大们帮我看看，这个电源服务程序有问题么？

附件: WmiPvSrv.rar

你开机出现dell logo 画面时按F2进入BIOS ，里面有CPU信息的，里面不会欺骗你的了。。。
偶1400的，T5470:default3:

建议发到可疑文件交流区鉴定

我问过DELL客服了，T7250/T5750 在BOIS里显示是一样的，都是2.0G，只不过一个是800MHZ总线，一个是667总线，在BOIS里是看不出来的！:default59:

2.0G 800MHZ  667MHZ 说的是内存吧？
你到dell官网输入你的服务代码，GD4K7*2X，像这个，可以查到机器具体配置的

查过的，配置就是写的T7250，BIOS里能查到的是内存频率，是查不出系统总线的。667MHZ是客服说的T5750的系统总线。我用英特尔处理器标识识别程序pidchs20测过。不禁用那个电源项，测出来就是800MHZ。

现在的问题就是，重装系统，那个文件都还在，把电源管理的那个禁用了，CPU型号又变了？改为auto run ，那个文件又出现了？出现后你用xdelbox删除那个文件，并选抑制再生，试下咯。

用楼上大哥方法确实没查到病毒了，系统显示也是T7250了，但用CPU-Z、Everest和Intel处理器识别程序查看的话还是显示T5750.进安全模式查看系统信息也显示T5750!

刚去dell论坛找2003驱动看到你发的贴了。现在最可靠的方法就是，你从PE引导进入，用CPU-Z和Everest测试，这里测试的不会受到其他文件的干扰。

试过了！我用网友世界杂志带的光盘PE引导进系统，用CPU-Z测出来还是T5750!,刚才又验证了一遍！电源、电池我都插着的！:default59: :default59:

那就是T5750，难道那个文件可以修改CPU参数？？？
在dell官网买的话可以找他们，在经销商那买的就找经销商了。。。

正在联系中！呵呵，超出病毒范畴了！谢谢楼上所有大哥，小弟会永计列位功德！！...:default6:

记得把处理结果汇报下哦
想弄清楚到底是什么原因 :default6: