瑞星卡卡安全论坛

上网上一半瑞星和360，咔咔全被关了，我都忘记这是第几次了，断网杀毒，好几个，以为等杀完没事了。突然瑞星杀毒给强制关闭。。。。没办法。换Arswp杀，杀了17个搞风险。。重启了下，还不行，而且任务管理器里有两个IEXPLORE。闪个不停，CPU占用90%。。。。换安全模式杀，杀到2个，一个删不掉用工具强删了，重启。。。还不行！！！！瑞星咔咔监控开不起，360狂弹插件警告。。“名称：{52C8608A-21A6-4978-B377-B276014501DC}
路径：C:\Documents and Settings\Administrator\Application Data\Set8.dll
影响位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
出品公司：
行为描述：系统可执行挂钩是一种特殊的程序，Windows在运行任何程序前会调用此程序，因此很可能被恶意程序利用。如果您不熟悉此插件，建议阻止此操作。”我点阻止它又弹，总是执行相同动作也没用，次次名字不一样啊。。。怎么办，下面是附件日志:kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: SREngLOG1.log

C:\WINDOWS\TEMP\EXPLORER.EXE

显示隐藏文件，找到这个文件，大包发到可疑文件交流区。

下载附件，解压后复制explorer.exe粘贴到c:\windows\文件夹内，提示替换时选“是”；

用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.8剑盟版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\temp\explorer.exe
c:\windows\system32\usbvmx.dll
c:\documents and settings\administrator\application data\set8.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\a0c86020.dll
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\gu6f5sw42mdc.dll
c:\windows\system32\qb5bkzy7vr5m.dll
c:\windows\fonts\vwuxtybhj.fon
c:\windows\system32\en7hzsrecat8.dll
c:\windows\system32\2ef0d734.dll
c:\windows\fonts\ty5ufs434yyd.fon
c:\windows\system32\ed78ab9.dll
c:\windows\fonts\mqppw9kyn.fon
c:\windows\system32\122b901e.dll
c:\windows\fonts\fyrwjf5qfhh.fon
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\e4814792.dll
c:\windows\fonts\zapwgsjgrspdse4.fon
c:\windows\system32\704c3595.dll
c:\windows\system32\drivers\tqantisys.sys

删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{C5CB6C70-7185-4466-AB45-B1C34E7A37CA}]   
[{52C8608A-21A6-4978-B377-B276014501DC}]   
[{37C5D66A-8B1B-4545-8112-3751194F6A4A}]   
[{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}]   
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]   
[{A0C86020-5935-4B87-B20E-0B656D450264}]   
[{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}]   
[{50EBD6A5-0CF6-4E59-AE08-CCD991AA0596}]   
[{71C4F360-FF1E-413E-B17A-0CA267A78E97}]   
[{16886058-6A31-4D53-B4AC-4CC7D2248D69}]   
[{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}]   
[{2EF0D734-21FD-4225-A1A2-BCD296182AAF}]   
[{CD95107F-52A5-42A4-9914-18949993E798}]   
[{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}]   
[{51F88A10-09E6-4763-948F-1C8861003255}]   
[{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}]   
[{15882A2F-A06D-486E-8958-E84C86CBF273}]   
[{76CBCF38-0583-44C7-A1AE-D463DFE625EC}]   
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]   
[{BE4D19AC-C2B7-4E43-A4A5-2696B19E4082}]   
[{704C3595-DB85-40F6-A601-8D6F346907BD}]   

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[tqantisy / tqantisys] 

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

附件: explorer.rar

谢谢楼上各位，我现在照着做先

C:\WINDOWS\temp\explorer.exe是正常的系统文件，C:\WINDOWS\explorer.exe是病毒文件,病毒主体就是MPEG-2 0DAY下载的病毒svchost.exe

我那个剑盟的用不了，一点重启删除就弹个X和一堆英文，用费尔强力清除助手能不？我试了下就删了那个EXPLORE其他都找不到

可以。。

但是他正在运行  删了以后重起下

不行啊，照着做，重启删完后他又弹插件。。。
搞笑的来了，刚刚去找那个隐藏文件时就开了可视隐藏，在C盘发现个隐藏的“1.EXE”就顺手删了。。现在在D盘又发现一个，这次搞笑了，我还没来得及点就消失了，我的第六感让我打开了E盘，这小子真的在这。。。科瞬间又消失，不用说，铁定跑F盘去了。。。。555哈哈哈:kaka4: :kaka12: 我都不知道该不该笑了，居然有这么搞笑的毒- -如何是好，插件继续弹，病毒跟我躲猫猫- -。。。。还有，我的系统时间也乱了= =！。。。。。我照着上面的做了。。。..重扫了日志。。。

附件: SREngLOG.log

“1.EXE”应该是病毒吧，可杀毒怎么杀不到他

我看情况应该是这样的：当你打开某个分区时，杀毒软件发现病毒就立刻删除了。并非你所说的是病毒和你躲猫猫。

应先结束进程，再删文件，否则它确实一直弹
每个盘符下应该都有隐藏的1.exe和autorun.inf
这个就不要双击盘符了，双击又会运行一次病毒

打开资源管理器，在地址栏选择盘符
或者用WINRAR浏览删除

这样你需要上传新的SRENG日志

这个1.exe感染了其他盘所有程序，你如果仅仅是删删文件，然后又去运行其他盘的文件，或者任何一个Windows文件夹以外的程序开机自启动什么的，都会继续来一堆毒

下载此工具
重启，F8进带网络连接的安全模式
联网查杀

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
放桌面全盘扫一次


http://www.arswp.com/download.html
扫描一次系统区