瑞星卡卡安全论坛

中毒症状如下：所有的执行文件全部打不开，安装最新的金山清理专家2。6后，虽然能够正常安装，并在右下角形成安全启动图标，但是点击右下角的安全图标后，系统弹出的不是金山清理专家的画面，而是直接弹出C：\windows\system32的目标文件夹，请教各路高手，这到底是什么病毒，有什么专杀工具？能不能给我发一下。（注：我用安全模式启动安装金山清理专家后是同样的后果）

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助，随意开多贴求助，将被删除多余求助贴。

扫SRENG日志发反病毒/反流氓区论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

可以先试试金山急救箱

用金山急救箱吧~一键搞定

附件: SREngLOG.log (2009-1-22 10:53:22, 44.51 K)
该附件被下载次数 204

这是扫描报告，请帮忙看下，然后请将专杀工具或者其它能杀死该病毒的东西传上来，谢谢啦！

C:\WINDOWS\system32\1046F0\66CAE3.EXE
打包发到可疑文件交流区

C:\WINDOWS\system32\drivers\TXPlatform.exe
C:\WINDOWS\delautorun.bat
C:\WINDOWS\system32\1046F0\66CAE3.EXE
C:\WINDOWS\system32\HPBHealr.dll
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\krnln.fnr]  [N/A, ]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\HtmlView.fne]  [N/A, ]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\shell.fne]  [N/A, ]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\dp1.fne]  [N/A, ]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\eAPI.fne]  [N/A, ]
C:\　　　.exe
C:\WINDOWS\SYSTEM32\CCM\CCMEXEC.EXE
提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

应用程序被劫持，需要删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值。

必须删除
C:\program files下全部EXE文件
然后

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\txplatform.exe
c:\windows\system32\drivers\txplatform.exe
C:\　　　.exe
D:\　　　.exe
E:\　　　.exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
c:\windows\system32\1046f0\66cae3.exe
c:\docume~1\admini~1\locals~1\temp\e_n4\dp1.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\eapi.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\htmlview.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\krnln.fnr
c:\docume~1\admini~1\locals~1\temp\e_n4\shell.fne
c:\windows\delautorun.bat
c:\documents and settings\administrator\「开始」菜单\程序\启动\66cae3.lnk
c:\windows\system32\8feeea46.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[66CAE3]    <C:\WINDOWS\system32\1046F0\66CAE3.EXE>
[DelAutorun]    <C:\WINDOWS\delautorun.bat>
[Explorer]    <C:\WINDOWS\system32\drivers\TXPlatform.exe>

    启动项目 －－　启动文件夹之如下项删除：
[66CAE3]    <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\66CAE3.lnk>
  启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[3732C466 / 3732C466]    <C:\WINDOWS\system32\8FEEEA46.EXE -k>

附件清除映像劫持项

附件: 映像劫持修复工具.rar

:default3: :default3: 删除C:\Program files\下的所有。EXE的文件？？？？？？？？？？？？你确定？？？？？？？？？？？？？？？我想知道这是什么病毒，有没有相应的专杀工具？？？？？？

楼主仔细看看，小狮子说的是C:\Program Files根目录下的exe文件，原本里面是不应该有的，打开我的电脑-工具-文件夹选项-查看-隐藏受保护的操作系统文件（推荐）勾选去掉-选中显示隐藏文件和文件夹后就可以看到了。
打开磁盘时需要注意，千万不要双击打开，最安全的方法是：开始-运行-输入盘符，点击确定打开，这种方式最安全。

:default3:
小狮子
不是BMW吧？

伪金山清理专家图标病毒

感染
%programfiles%里全部EXE文件
且文件不可能被杀毒软件修复