taskmgr.exe文件被感染！！ bbs.ikaka.com

jaspine - 2008-12-7 11:16:00

瑞星怎么感觉像个垃圾啊！

我的电脑中病毒都N个月了，到现在都查不出来。

真服了瑞星了！

症状：任务管理器打不开，被病毒文件，替换。

附件中有被感染的
taskmgr.exe文件。

希望有关人员，查看一下！！！！！

不要让用户失望！！！！！！！！！！！！

---------------------------------------------------
请仔细看一下，正常文件和感染文件的大小，图标和日期。都是不相同的，是病毒是毫无疑问的！

日志文件已经上传！

用户系统信息：Mozilla/4.0 (Compatible win32 72.70.211.171; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: system32.rar

附件: SREngLOG.log

附件: SYSLOG.TXT

backway - 2008-12-7 11:25:00

你怎么就知道taskmgr被感染了？任务管理器打不开也能是taskmgr文件丢失或损坏或镜像劫持了。你上传的那个文件包用多扫描引擎扫描都不报毒。你上传sreng日志看看。

浪漫纸箱 - 2008-12-7 11:40:00

楼主下个清理助手，看看用快速扫描，能扫描出劫持任务管理器的文件么？扫描出来清理一下就行了。再用最新版瑞星全盘扫描一下。:default7:

天月来了 - 2008-12-7 11:42:00

感谢提供文件

已找管理员了

aaccbbdd - 2008-12-7 12:06:00

发日志看看

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载 | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

jaspine - 2008-12-7 12:16:00

“你怎么就知道taskmgr被感染了”
我用没有病毒感染的文件，替换被感染的文件后，不到一分钟，文件又被替换。图标都变了，在说和正常文件的大小都不一样，当然能看出来是病毒在作怪了。
我也是做软件的，不可能什么都不知道的。

主要是taskmgr.exe这个文件感染，我上传了两个文件，另一个文件应该没有被感染。
我把正常文件taskmgr.exe放在，其它地方，可以打开任务管理器，放在SYS32,不到一分钟就会被替换。

查找被感染文件，不会有任何病毒提示。

希望尽快解决此病毒。

backway - 2008-12-7 12:22:00

楼主还是上传sreng日志吧，这样可以快速查处病毒哦。 :default7:

aaccbbdd - 2008-12-7 12:23:00

发日志解决会快点

等瑞星可能要等会了

替换taskmgr.exe
不仅仅要替换system32目录里的
还要替换dllcache目录的

jaspine - 2008-12-7 13:45:00

日志文件已上传。

aaccbbdd - 2008-12-7 13:49:00

替换taskmgr.exe
不仅仅要替换system32目录里的
还要替换dllcache目录的

日志里没有病毒的影子
连影子都找不见:default2:

晕４ - 2008-12-7 13:51:00

引用:

原帖由 aaccbbdd 于 2008-12-7 13:49:00 发表
替换taskmgr.exe
不仅仅要替换system32目录里的
还要替换dllcache目录的

日志里没有病毒的影子
连影子都找不见:default2:

打开任务管理器来扫日志

重置一下Hosts文件

aaccbbdd - 2008-12-7 13:52:00

有才:default3:

不过只能这样了

晕４ - 2008-12-7 13:53:00

引用:

原帖由 aaccbbdd 于 2008-12-7 13:52:00 发表
有才:default3:

不过只能这样了

:default2:
如果病毒替换上百个系统文件

那么该如何........

backway - 2008-12-7 13:57:00

用sfc扫。那个hosts不用管，免疫的，基本虚设。。。

jaspine - 2008-12-7 14:09:00

就是找不到病毒吗？

不过是病毒在做乖，是肯定的？

可以分析我上传的那个文件的?

aaccbbdd - 2008-12-7 14:12:00

经检测
1楼文件是安全的:default3:

jaspine - 2008-12-7 14:45:00

都不能解决吗？

就没有遇到这种情况的吗？

aaccbbdd - 2008-12-7 14:48:00

有安装光盘的话

命令提示符下运行
sfc /scannow

天月来了 - 2008-12-7 14:51:00

很多人遇到这样的情况

你系统内的这个文件已没有正常的存在了

你想要怎么解决呢？？？

得你自己手工替换回正常的呀

杀毒软件不可能将各种系统文件靠升级保存在你电脑里为你去替换回来的。

因为涉及几百兆的系统文件，是不可能靠杀毒软件来为你解决的。

目前全球所有杀毒软件都不能解决彻底替换系统文件的病毒对系统的影响。

jaspine - 2008-12-7 14:55:00

:default3: 不检测一下是什么文件吗？

不能检测不出来就说没有病毒吧？

aaccbbdd - 2008-12-7 14:57:00

有安装光盘的话

命令提示符下运行
sfc /scannow

天月来了 - 2008-12-7 14:59:00

我们这些网友已经可以确定你发来的是病毒

但是瑞星还未能加库

已经联系了

过两天吧。

backway - 2008-12-7 15:00:00

汗死，你从相同系统的机子上拷贝taskmgr.exe文件到system32和dllcache目录下，任务管理器还打不开么？机子反应还有异常么？

jaspine - 2008-12-7 15:59:00

TO：天月来了
我说过了啊。

我在其他机器上拷贝个正常文件过来，不到一分钟有没有病毒替换了。

朋友是不是没有看我发的内容啊，没有就不要说噢！

aaccbbdd - 2008-12-7 16:01:00

不知道

替换taskmgr.exe
不仅仅要替换system32目录里的
还要替换dllcache目录的
你看了没有:default3:

backway - 2008-12-7 16:15:00

不就是是一个taskmgr出问题，任务管理器打不开么
你要么把system32目录下的taskmgr在软件限制策略里改为不允许的，然后放个taskmgr在其他地方；
要么把taskmgr属性里安全选项，所有帐户的都不允许写入，这得是ntfs文件系统。

天月来了 - 2008-12-7 16:18:00

他们已经回你几次了

你替换这个文件时，必须先替换掉C:\WINDOWS\system32\dllcache文件夹里的

然后再替换掉C:\WINDOWS\system32文件夹里的。

因为如果不替换掉C:\WINDOWS\system32\dllcache文件夹里的

那么当你只是替换C:\WINDOWS\system32\文件夹里的时候

系统会自动从备份文件夹C:\WINDOWS\system32\dllcache文件夹里调取文件，将你那替换回去

我看你的贴，看得很清楚的。

天月来了 - 2008-12-7 16:27:00

看看

http://bbs.ikaka.com/showtopic-8551296.aspx

这还是我在9月份就弄的贴呢

你如果习惯去精华区查看

早就知道了

如果你确实替换成功C:\WINDOWS\system32\dllcache\文件夹的，

然后替换C:\WINDOWS\system32\\文件夹还不能成功

那么需要考虑你系统内还有什么东西在恶搞你的系统文件。

你可以考虑使用瑞星主动防御监控一下，到底什么玩意要恶搞你的C:\WINDOWS\system32\dllcache\文件夹里的那个任务管理器文件。

瑞星卡卡安全论坛