瑞星卡卡安全论坛

以下是sreng2扫描的日志：

附件: SREngLOG.log (2009-2-8 18:34:09, 77.92 K)
该附件被下载次数 212

还有附截图：


第一个IE快捷是正常的
下面那个酷我音乐盒 我都不知道是什么时候给装的
最下面那个IE快捷明显是不正常的 前面我QQ打开时桌面上也会自己冒出个IE的快捷 字都是大写的！
还有前面还有一个叫什么 风行网络电影的  也是莫名冒出来的
不知道有谁碰见过与我一样或类似的情况 有否解决之道 烦请各位达人相助
- - 瑞星也杀过了 米反应

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 3.0.04506.30)

建议卸载迷你快车这款应用软件，个人认为其具有流氓性质。

酷我音乐盒安装问题，请找能用这台机操作的人问问……

日志看了，没发现啥，楼下高手继续……

第二个IE呢？快捷方式是否正常？

右击IEXPLORE这个快捷，属性，快捷方式，把起始位置那一栏的路径发过来

- - 我很粗糙的用unlocker把那两个玩意给删了

还有金山毒霸，还想最近老是有这类问题啊

- -又出现了
起始位置是"C:\Program Files\Internet Explorer\"

http://bbs.ikaka.com/showtopic-8595234.aspx建议看看，2楼状况好像好像和你一样

http://bbs.ikaka.com/showtopic-8595234.aspx

是啊 我也看到了 但不知道有什么解决的办法吗？ :default8:

删除病毒文件
重启

请问要删除哪些？

天月帖子里提到的东东

以下方法可能不全面，建议先检查一下：

如果你的情况和前面链接帖的情况相同，请尝试在安全模式下删除c:\program files\internet explorer目录下的iexploer.exe（注意看，这个不是IE主进程）、iexplore.ico这两个病毒文件，删除QQ安装目录下的一个伪QQ主程序“  QQ.EXE”（注意前面有个空格），删除暴风影音安装目录下的一个伪主程序“  STROMER.EXE”（注意前面有个空格），以及其他一些病毒程序，然后将QQ、IE、暴风主程序对应的快捷方式复原，之后重启电脑看看。

注意，以上伪程序大部分是隐藏属性，可以用WINRAR压缩工具找找……

另外，如果你最近从非官方网站下载了暴风影音播放器的安装包，请直接将该安装包删除，去官网下载安装包，从非官网下载的暴风安装包可能被捆绑了恶意软件……:default7:

日志上看不出来－－

上帝呀

我像那个求助要的文件

你如果有，也一样找找压缩发来呗

唉

都SP3的系统了哪来的SP2？以下文件发上来，别删，可能有替换的
  [C:\WINDOWS\system32\kernel32.dll]  [Microsoft Corporation, 5.1.2600.3119 (xpsp_sp2_gdr.070416-1301)]
    [C:\WINDOWS\system32\USER32.dll]  [Microsoft Corporation, 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)]
    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\COMCTL32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

正常的SP3：

[PID: 1272 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
[PID: 1384 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
而你的：

[PID: 1324 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1380 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
可疑对象
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]


  <RavTray><"F:\Rising\Rav\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]

    <RFWTray><"F:\Rising\Rfw\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
（一个为W一个为V）
风险级别：（可能为游戏，如果不连网对战请删除）
驱动
[PnkBstrA / PnkBstrA][Running/Auto Start]
  <C:\WINDOWS\system32\PnkBstrA.exe><N/A>
[PnkBstrB / PnkBstrB][Running/Auto Start]
  <C:\WINDOWS\system32\PnkBstrB.exe><N/A>
运行的：
未知软件：[PID: 1124 / SYSTEM][C:\WINDOWS\system32\PnkBstrA.exe]  [N/A, ]
[PID: 840 / SYSTEM][C:\WINDOWS\system32\PnkBstrB.exe]  [N/A, ]

    [F:\NamiRobot\Data\NamipanExt1.dll]  [N/A, ]
    [C:\WINDOWS\system32\TudouUpload.dll]  [www.Tudou.com, 1.1.0.0]

你的分析和他的问题没什么关系

刚补充完：
正常的SP3：

[PID: 1272 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
[PID: 1384 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
而你的：

[PID: 1324 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1380 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

你所说的没一个有问题。
该病毒没有改写系统文件的行为。

我的好像也是