瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 系统重启多次无法正常启动进入系统
bluebamboo - 2009-2-9 16:41:00
启动时的启动条会出现停顿现象,然后就重启了...
但可以进入安全模式和调试模式
安全模式下查杀发现Trojan.Win32.Undef.tso病毒
在c:\windows\system32\2052 目录下 文件是dwintl.exe
删除后,仍然重启..
不知是否是病毒造成?

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler 4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)
backway - 2009-2-9 16:46:00
下载SRENG工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了
bluebamboo - 2009-2-9 16:48:00

附件: SREngLOG.log (2009-2-9 16:47:41, 37.67 K)
该附件被下载次数 212

backway - 2009-2-9 16:59:00
建议使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\system32\drivers\11746765.sys
c:\windows\system32\drivers\140625.sys
c:\windows\system32\drivers\158796.sys
c:\windows\system32\drivers\161718.sys
c:\windows\system32\drivers\164453.sys
c:\windows\system32\drivers\185734.sys
c:\windows\system32\drivers\336796.sys
c:\windows\system32\drivers\61390.sys
c:\windows\system32\drivers\66390.sys
c:\windows\system32\drivers\73046.sys
c:\windows\system32\drivers\78171.sys
c:\windows\system32\drivers\9748062.sys
c:\windows\system32\drivers\ob1q2du4.sys
c:\windows\system32\2052\dwintl.exe

2.删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:
<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>  [N/A]

启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[11746796 / 11746796]    <\??\C:\WINDOWS\system32\Drivers\11746765.sys>
[140687 / 140687]    <\??\C:\WINDOWS\system32\Drivers\140625.sys>
[158843 / 158843]    <\??\C:\WINDOWS\system32\Drivers\158796.sys>
[161781 / 161781]    <\??\C:\WINDOWS\system32\Drivers\161718.sys>
[164500 / 164500]    <\??\C:\WINDOWS\system32\Drivers\164453.sys>
[185812 / 185812]    <\??\C:\WINDOWS\system32\Drivers\185734.sys>
[336828 / 336828]    <\??\C:\WINDOWS\system32\Drivers\336796.sys>
[61437 / 61437]    <\??\C:\WINDOWS\system32\Drivers\61390.sys>
[66468 / 66468]    <\??\C:\WINDOWS\system32\Drivers\66390.sys>
[73109 / 73109]    <\??\C:\WINDOWS\system32\Drivers\73046.sys>
[78250 / 78250]    <\??\C:\WINDOWS\system32\Drivers\78171.sys>
[9748062 / 9748062]    <\??\C:\WINDOWS\system32\Drivers\9748062.sys>
[savecan / savecan]    <\??\C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX01.156\ShengShengKan\ShengShengKan\savecan_xp.sys>
[ob1q2du / ob1q2du4]    <\SystemRoot\System32\DRIVERS\ob1q2du4.sys>


用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ,清理系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/
backway - 2009-2-9 17:00:00
c:\windows\system32\2052这个文件夹也删了。
bluebamboo - 2009-2-9 17:01:00
是那个病毒造成的么
backway - 2009-2-9 17:08:00
你看嘛,清理出这么多问题了。
按我上面的操作吧,之后再反应。
bluebamboo - 2009-2-9 17:55:00
按照你的做法,,一一清除修复后,重启时依然无法正常启动进入系统...只能进入调试和安全模式:default2:
backway - 2009-2-9 17:56:00
你重新上传sreng日志看看。
超级游戏迷 - 2009-2-9 18:00:00
启动项目 -- 注册表之如下项删除:
<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>  [N/A]

这个注册表项是正常的……
bluebamboo - 2009-2-9 18:01:00
你说把C:\WINDOWS\system32\2052 文件夹删除么?里面的文件也删除么? dwintl.dll是应用程序错误报告..病毒文件是dwintl.exe
bluebamboo - 2009-2-9 18:02:00
修复后的

附件: SREngLOG.log (2009-2-9 18:02:02, 62.26 K)
该附件被下载次数 156

backway - 2009-2-9 18:02:00
看到有点可疑,他启动项里的东西也太多了,禁止那个camaudio自启没问题吧:default5:
bluebamboo - 2009-2-9 18:04:00
现在查看C:\WINDOWS\system32\2052 文件夹里
仍有一个文件名为dwintl.exe的空文件夹
bluebamboo - 2009-2-9 18:07:00
启动项多.禁止camaudio一般会出现哪种问题?
bluebamboo - 2009-2-9 18:11:00


引用:
原帖由 backway 于 2009-2-9 18:02:00 发表
看到有点可疑,他启动项里的东西也太多了,禁止那个camaudio自启没问题吧:default5: 

应该是
删除了,没有禁止
超级游戏迷 - 2009-2-9 18:12:00


引用:
原帖由 backway 于 2009-2-9 18:02:00 发表
看到有点可疑,他启动项里的东西也太多了,禁止那个camaudio自启没问题吧:default5: 
作用与声卡有关,以下是解释:

System tray control panel for C-Media based soundcards - often included on popular motherboards with in-built audio. Available via Start -> Settings -> Control Panel

可用MSCONFIG禁用,但不建议删除……
bluebamboo - 2009-2-9 18:14:00
究竟是哪里的问题呢?
现在查看C:\WINDOWS\system32\2052 文件夹里
仍有一个文件名为dwintl.exe的空文件夹
C:\WINDOWS\system32\2052 里一个文件是dwintl.exe(病毒) 一个文件是dwintl.dll应该不是病毒
backway - 2009-2-9 18:15:00
C:\WINDOWS\system32\2052 下正常情况下只有dwintl.dll


驱动里的[Winnt Sys32 Core Layer / NtSys][Running/Boot Start]
  <\SystemRoot\system32\drivers\ntsys.dll><Microsoft Corporation>
很可疑,第一次碰到dll的驱动
而且XP sp3系统没这个服务的。
backway - 2009-2-9 18:17:00
那个空文件夹是免疫的,另个文件正常。
backway - 2009-2-9 18:22:00
这样操作:
用xdelbox删除
C:\windows\system32\drivers\ntsys.dll这个文件,重启后在sreng——启动项目 -- 服务-- 驱动程序里找到Winnt Sys32 Core Layer / NtSys,启动类型改为disabled,点中修改启动类型,点设置
bluebamboo - 2009-2-9 18:22:00


引用:
原帖由 backway 于 2009-2-9 18:15:00 发表
C:\WINDOWS\system32\2052 下正常情况下只有dwintl.dll


驱动里的[Winnt Sys32 Core Layer / NtSys][Running/Boot Start]
  <\SystemRoot\system32\drivers\ntsys.dll><Microsoft Corporation>
很可疑,第一次碰到dll的驱


系统不是XP SP3的
backway - 2009-2-9 18:25:00
我知道你的是SP2的,sp2和sp3服务没多大差别。你先按21L的做,这操作是可还原的。删的文件有备份的。
bluebamboo - 2009-2-9 18:46:00
删除C:\windows\system32\drivers\ntsys.dll以后,电脑就可以正常启动了:default7:

还有个问题
启动项目 中的<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>  [N/A]
删除后在SRENG里找不到了..
Cmaudio是干什么用的
backway - 2009-2-10 9:31:00
那个没事。其实启动项里保留ctfmon.exe和杀软等程序就行了,其他的都可以取消。
bluebamboo - 2009-2-10 20:17:00
现在开机时,总会停留在  正在载入个人设置  的界面内就不动了
只能关了再开..
不知是否是删了那个项目的原因?
圆圆圆圆 - 2009-2-10 20:27:00
重装系统
aryda - 2009-2-10 20:30:00
没事的..前面的删除都留有备份的..你是开机没法见到桌面吗?还是要反复几次才能见到?后一种还有病毒的可能性比较大..最好发一份新的日志上来..

我现在很困..准备下了..你不急的话等下别人帮你看日志好吗?:default5:
bluebamboo - 2009-2-12 9:36:00
是偶尔才会出现的情况,而且只要重启就能进入了
这是什么原因..是否是删除<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>  [N/A]
后的原因
backway - 2009-2-12 9:39:00
不可能,我说过了,一般启动项只需保留ctfmon.exe和杀软等安全软件就行,其他都可以取消的。
进入桌面慢只是那会加载慢而已,你运行msconfig ,在启动项里把不必要的启动项前的勾取消。
12
查看完整版本: 系统重启多次无法正常启动进入系统
© 2000 - 2025 Rising Corp. Ltd.