瑞星卡卡安全论坛

用sreng2扫描发现Explorer.EXE进程调用了很多未知程序，请帮忙看看
附件1.rar包含这些文件，上个月底这些文件出现以后开始出现问题，explorer占用CPU50%，占内存接近200M。

[PID: 2264][C:\winnt\Explorer.EXE]  [(Verified) Microsoft Corporation, 5.00.3700.6690]
    [C:\winnt\appHelp.dll]  [N/A, ]
    [c:\winnt\system32\wmvfile.dll]  [, 1, 0, 0, 1]
    [c:\winnt\system32\mpgfile.dll]  [, 1, 0, 0, 1]
    [c:\winnt\system32\wmacore.dll]  [, 1, 0, 0, 1]
    [c:\winnt\system32\iedecode.dll]  [, 1, 0, 0, 1]
    [C:\winnt\system32\MSCTF.dll]  [Microsoft Corporation, 1.00.2409.41 built by: Lab06_N]
    [c:\winnt\system32\us.dll]  [, 1, 0, 0, 1]
    [D:\360safe\safemon\safemon.dll]  [360.CN, 5, 0, 0, 1009]
    [C:\winnt\system32\MSVCP60.dll]  [Microsoft Corporation, 6.00.8972.0]
    [C:\winnt\mui\fallback\0804\msctf.dll.mui]  [Microsoft Corporation, 1.00.2409.7 built by: Lab06_N]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
    [C:\winnt\system32\RavExt.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 12]
    [C:\winnt\SYSTEM32\DWRCShell.DLL]  [DameWare Development LLC, 4, 5, 0, 0]
    [C:\Program Files\UltraEdit\ue32ctmn.dll]  [, 1.0]
    [C:\WINNT\system32\msimtf.dll]  [Microsoft Corporation, 1.00.2409.41 built by: Lab06_N]

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: SREngLOG.log

附件: 1.rar

附件: apphelp.rar

网上搜搜这些进程，应该都不是病毒。
建议楼主使用卡卡助手-高级工具-系统修复，修复一下被修改的hosts文件。

就是因为搜了不是病毒才郁闷，host文件是360加上的关于屏蔽机器狗的。explorer占用CPU50%，占内存接近200M,肯定是有病毒，只是杀毒软件查不出来

使用卡卡助手-高级工具-启动项管理-资源管理器插件，看看有没有可以优化的项目。

你在用Oracle？？ 另外先在任务管理器里看下哪个进程运行cpu资源较高，如果正常运行的程序，结进程后再看看，排除下试试，是否有病毒原因，等高手来了再给你看看日志再说吧

是装了oracle,只有explorer占用CPU资源高，结束进程在任务管理器中重启还是一样.资源管理器插件没有什么可以优化的。刚刚用卡卡查到两个盗号木马，清除后CPU占用率降到25%,还是有些高.

下载windows清理助手试试
http://www.arswp.com/download/arswp2/arswp2.rar（升级后使用）


日志没有发现问题。

使用arswp2快速扫描、系统诊断都没有发现问题,电脑重启后,CPU占用率又恢复到50%

别的不谈，就这个吧，它好象不应该在那路径下吧？？？反正我没见过。
    [C:\winnt\appHelp.dll]  [N/A, ]

至于下面的怎是这样，我也不知道你什么软件的
    [c:\winnt\system32\wmvfile.dll]  [, 1, 0, 0, 1]
    [c:\winnt\system32\mpgfile.dll]  [, 1, 0, 0, 1]
    [c:\winnt\system32\wmacore.dll]  [, 1, 0, 0, 1]
    [c:\winnt\system32\iedecode.dll]  [, 1, 0, 0, 1]

尤其这一个是什么呢？？迷糊
    [c:\winnt\system32\us.dll]  [, 1, 0, 0, 1]

这几个文件都是5月9号生成的，怀疑是病毒，可是用瑞星杀了没有效果

哈，果然跟我猜的几个可疑对象相同，我也好奇那是啥程序，尤其是us.dll ...不过楼主将它们压缩成1.rar 传上来了？？？我另外对
驱动程序
[1380875 / 1380875][Stopped/]
  <2 - 系统找不到指定的文件。
也疑惑
曾经的病毒残骸？？？不过LZ装的辅助类工具软件不少。。

这C:\winnt\appHelp.dll文件呢？？？附件里怎没有？？


看那几个文件的右键属性，到底是什么呢？？

我实在不熟悉这些你们喜欢玩的希奇古怪的软件

点右键没有显示版本,已经将文件上传，这台是服务器最近1个月没有装任何东西，这些文件应该是黑客入侵以后留下来的。

你逻辑顺序太乱，没理清楚我说的

我那图是指你附件里的几个文件

而这C:\winnt\appHelp.dll文件我需要你将它实际复制个发来我看。:kaka6:

不是你自己看:kaka3:

已经上传，在第一个帖子中

我没好办法了

你自己考虑那些第一个附件里的文件是什么吧

至于这个C:\winnt\appHelp.dll文件我也不知道是什么东西用的

你愿意的话，就将他们都改个名试试吧

随意改，只要你能记住不忘记即可

改完后，去重启电脑看情况如何

如果影响什么正常软件的使用，就再改回原名

在安全模式将所有这些文件全部备份以后进行删除，重启后正常，CPU占用率不到1%,内存也只有几M，继续观察，谢谢天月来了