我已经重装5次系统了。 bbs.ikaka.com

执子情人 - 2009-8-17 10:28:00

我的光盘是雨林木风Ghost版.

5次重装系统时间间隔不超过3小时.

进程里有rar.exe cmd.exe

上一次重装的时候有出现 6位数字+xeex.exe (xexx.exe 好象是前一个.)? 是哪个进程释放的我不知道.

释放在c:\windows\temp

最后一次重装系统时..刚进入Winows桌面,直接运行Windows清理助手..查杀的好象都是些传奇外挂什么的..加壳的程序...

然后又用360kill 顽固木马专杀大全..查杀的什么我忘了..总只没查杀到cmd.exe rar.exe 数字+xeex.exe 这些东西。

然后我又安装了瑞星. 查杀了全盘, 瑞星查杀完, 又安装bitdefender查杀..

全部弄好之后!!!

360什么的都扫不到东西之后!!

我认为系统应该是干净的了.

可是昨天晚上,我居然又看到 cmd.exe rar.exe!!!!!!

这2个进程,结束后自动开启.

天啊!!!

这病毒太顽强了...

我估计是感染了很多exe文件.

但是为什么查杀不出来?

很多重要文件啊!!

声明:

cmd.exe 进程定位后就是C:\windows\System32\cmd.exe
rar.exe 进程定位后就是C:\program files\WinRaR\rar.exe

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

菜菜万岁 - 2009-8-17 10:40:00

下次重装建议换个光盘，可能这个光盘不是YLMF的。
日志里没看到cmd和rar的身影，等下次出现的时候再次扫描后通过附件传上来

天月来了 - 2009-8-17 10:40:00

只需要知道你重装系统后，到底做什么事，会出现那情况

可以利用进程监控类软件监控一下看看

执子情人 - 2009-8-17 10:42:00

重装系统后应该是运行某些还被感染的文件，然后出现。

系统光盘绝对没问题，用了一年多了，另台电脑也没事阿!

执子情人 - 2009-8-17 10:46:00

刚才还没有的.
现在又出现了.
在这之间,我就看网页与开SRENG.
对了,还有开一次win+r CMD.exe..

附件: SREngLOG.log

天月来了 - 2009-8-17 10:50:00

去我置顶工具贴找瑞星听诊器扫描个日志来看

对了，你的SRENG放在哪盘呢？？

还有你系统内还有哪些东西是在其他盘的，被你运行起来的？？

xyz002 - 2009-8-17 10:57:00

同样的问题这里好象解决了你可以参考下
http://help.360.cn/5030806/27687614.html 不管解决还是没解决希望再来反馈下谢谢:kaka1:

执子情人 - 2009-8-17 11:04:00

楼上的好象没仔细看我的帖子。

回复版主。

SRENG，和瑞星听诊，都是放在桌面。

其他盘会运行的程序有QQ. 传奇2外挂, 传奇2登陆器..

不是传奇的原因.因为我是下载了一个网址发布器,运行工具后自消失,中的毒.那,传奇也有可能被感染了.

由于不能传htm文件.

所以打包了.

附件: 瑞星听诊器.rar

aaccbbdd - 2009-8-17 11:19:00

建议再重装吧

重装完
下载
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

扫描完成前
就不要运行其他盘的程序了

天月来了 - 2009-8-17 11:21:00

得！！

我要听诊器日志，你倒将整个听诊器压缩发我一次干嘛？？？

执子情人 - 2009-8-17 12:17:00

我是起先发帖子说重装5次系统，有CMD.exe rar.exe 进程的那个人。

怕老帖子提上来你不会注意，新开一个帖子。

起先没看清楚，上传错了。

这次是对的。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: 瑞星听诊信息.rar

aaccbbdd - 2009-8-17 12:26:00

我是看不出
天月继续吧
依据描述是感染型
咋的就不用大蜘蛛呢.....

执子情人 - 2009-8-17 12:27:00

蜘蛛扫过了，没东西。

aaccbbdd - 2009-8-17 12:29:00

难道是金山急救箱清理掉了？

现在还异常不

执子情人 - 2009-8-17 12:31:00

到现在为止还是有那东西，就图上面的。 cmd.exe rar.exe
还会出现隐藏LPK.dll usp10.dll

有一次看到防火墙提示 rar.exe 要连接到加拿大。和江苏。

执子情人 - 2009-8-17 12:45:00

是不是吃饭时间到了?

aaccbbdd - 2009-8-17 13:00:00

LPK.dll usp10.dll
文件有多大？

执子情人 - 2009-8-17 13:05:00

72.0 kb

很多文件夹都被释放了这东西。

aaccbbdd - 2009-8-17 13:19:00

先试试这个
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689

天月来了 - 2009-8-17 15:14:00

这个情况很有趣

目前看，极可能是电脑内大量存在LPK.dll 和usp10.dll文件，请你将这两个具有隐藏属性的文件压缩发来，急需要。

另外你的所有压缩包，尤其是RAR压缩包文件内可能都被塞入这两个文件或LPK.dll文件了。

这个也可以利用我置顶工具贴内的压缩包文件指定清除工具清除。

另外，用冰刃帮我查看下，你系统内异常的时候
C:\PROGRA~1\WINRAR\RAR.EXE进程以及IE进程的模块插入情况如何，很需要知道，也可以试试Wsyscheck操作查看进程模块情况。

瑞星卡卡安全论坛