瑞星卡卡安全论坛

　　电脑中招，用瑞星无法查杀，在安全模式下也尝试过，都查不到。
表现为：开启本地网络联接后，打开文件超慢，关闭本地网络连接后正常。
打开IE浏览器会自动访问：安全起见请勿点击（http://bbs.janmeng.com/lmgif/logo.gif）


查看瑞星日志
1.病毒程序试图修改注册表键值：

进程:            C:\DOCUMENTS AND SETTINGS\YZG\桌面\AUK_ADWARE.WIN32.BHO.EXE
数值名称:    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL
旧值:            Explorer.exe
新值:            Explorer.exe

2.并访问各盘　AUTORUN.INF
防护类型:    访问文件
进程:            C:\WINDOWS\EXPLORER.EXE
文件名:        J:\AUTORUN.INF

附SREngLOG文件，请高手看看状况出在哪，先谢谢各位了！

附件: SREngLOG.log (2010-2-3 0:38:19, 236.58 K)
该附件被下载次数 224

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)

<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
这一项极端可疑！ 很可能是被插入了系统文件

conime.exe是输入法编辑器相关程序。注意：conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。


http://baike.baidu.com/view/2366856.htm?fr=ala0_1  IE7真的不好用，用IE8或者其他的吧~

浏览器加载项中有太多可疑的加载项。。

用SEGng的  系统修复---->IE加载项  手动删除可疑加载项
再用注册表清理软件或者超级兔子彻底清理一下IE~:kaka9:


剑盟貌似被挂马了，目前先不要去~

非常感谢，应该如何处理？

这一项目前在服务中，服务没有被开启，所以目前对于系统没有影响，也有可能是杀毒不干净后的影响，但是这个C:\WINDOWS\system32\appmgmts.dll 文件如果还在系统文件夹下的话建议删除，杜绝后患。

仅供参考~ 相关方法参考http://zhidao.baidu.com/question/113503867.html    :kaka12:

感谢，但C:\WINDOWS\system32\没有发现有此文件

恩~ 没发现就最好了~  说明这是以前杀毒的后遗症，服务没有删除~  楼主不早了~  早点休息吧~ 呵呵

~~那个是系统模块，你删了，重起看电脑是否正常运行？！:kaka6: ~~
~~那个是要替换的~~
~~问题没有搞清楚之前不能乱下结论~~

。。。。楼主的那个所谓的系统模块已经没有了，不是照样能运行么？:kaka6:

用卡卡的联网程序管理发现上述可能有问题，用瑞星防火墙关闭端口：137，138，139，445
打开文件慢的问题得到解决，可病毒一日不除还是有些担心，请高手帮忙再看看。