WIN7启动弹窗:svchest.tmp已停止工作(内详附日志) bbs.ikaka.com

快来救命啊啊 - 2011-4-18 20:26:00

机器是别人的,系统是WIN7,开机运行就会弹窗svchest.tmp已停止工作,360安全卫士什么都装过了,查是查得到一点了杀也杀得了.现在一联网就显示有木马攻击.安全模式查杀也试了,没用.已试过用HJ和SRENG2扫描日志查看,没发现什么问题阿...
360报的毒和WIN7弹的窗口的图都在附件里.
由于没使用过WIN7的系统,麻烦大家及斑竹帮忙指教几招了.附上SRENG2及HJ日志.

忘了这的传统不是板日志到论坛..是上传...
补传

附件: SREngLOG1.log (2011-4-18 20:59:56, 32.90 K)
该附件被下载次数 250

附件: hijackthis.log (2011-4-18 20:59:56, 4.05 K)
该附件被下载次数 246

附件: 新建文件夹 (2).rar

networkedition - 2011-4-19 10:02:00

日志未见异常。反复查杀都有这个几个病毒吗，lz上网环境是否为局域网？

快来救命啊啊 - 2011-4-19 12:06:00

不是局域网.
之前的查杀历史的图片在附件里,是一个叫HOME.SYS的驱动文件带毒.
而且在系统的正常启动后,会弹窗显示svchest.tmp已停止工作.
正常运行时360木马防火墙会时不时的弹出显示被木马攻击.
昨晚让他用杀软扫描就会扫到在C/WINDOWS下一个名叫RUN.VBS的文件带毒.
然后进入系统后我帮他看日志却没见到什么异常的东西.但是还是弹窗显示有木马.
真是奇怪了..

快来救命啊啊 - 2011-4-19 12:09:00

斑竹看看有什么办法么.
我是第一次遇到WIN7,第一次遇到这样的事.

天月来了 - 2011-4-19 12:17:00

要不你下载这runscanner工具扫描个日志看看,附操作说明图

下载：runscanner1.6.1.0.rar

networkedition - 2011-4-19 13:15:00

下载5楼版主提供的工具扫描日志压缩发来。

快来救命啊啊 - 2011-4-19 23:40:00

日志在这.
已上传

附件: runscanner.rar (2011-4-19 23:40:23, 127.38 K)
该附件被下载次数 304

byxxdrls - 2011-4-20 8:39:00

附件无法用runscanner打开:kaka3:

天月来了 - 2011-4-20 9:38:00

日志没看出什么，帮不了楼主了

byxxdrls - 2011-4-20 9:52:00

查找svchest.tmp，发上来:kaka12:

networkedition - 2011-4-20 9:54:00

那个svchest.tmp已停止工作弹窗，点击查看问题详细信息抓图来看，还有全盘搜索svchest.tmp这个文件，如果能找到压缩发来。

天月来了 - 2011-4-20 9:55:00

弹窗的时候，抓图来看具体的

另外打开注册表，搜索svchest

看能否搜索出虾米玩意

快来救命啊啊 - 2011-4-20 22:09:00

OK 嘱咐中...

快来救命啊啊 - 2011-4-20 22:55:00

未命名1 2是启动后弹出窗口后点击详细信息出来的图.

3.是在注册表里搜索到的相关项目.

附件: 桌面.rar (2011-4-20 22:55:25, 75.98 K)
该附件被下载次数 276

另外我一般只能晚上在线,因为白天工作忙,中午一回来吃完饭就倒下去睡了..大家包涵一下.

青冥剑誓 - 2011-4-20 23:27:00

多谢楼主了，这种东西我也不懂，我只希望不要弹出那个窗口，还有不要总是受到攻击，最进我也没有去过什么不干净的网站，那个svchest 全盘扫描了，没有发现，就注册表里有个那个，图片楼主已经上传了，方法都试了，要是还不好大不了在整个系统，丫的小小的木马。。。

最后谢谢楼主和各位版主，辛苦了！！！

天月来了 - 2011-4-21 8:28:00

就注册表内那个，导出备份后，删除那项目，然后看如何

你怎不抓全图呢？？？怎都喜欢抓那丁点大的图呢？？

死也看不出全路径在哪位置，汗

networkedition - 2011-4-21 9:55:00

将C:\Program Files\Common Files\svchest.tmp 压缩发来。另将注册表内那项导出压缩发来。

快来救命啊啊 - 2011-4-21 12:01:00

忙碌中上来看看..15楼是机器出现状况的那个朋友.
总之我现在也觉得挺纳闷的.
真是第一次遇到这种吃憋的情况....

楼上的,C:\Program Files\Common Files\svchest.tmp 全盘搜索都搜索不到,应该这个文件是已经被杀软干掉了.
我觉得.

天月来了 - 2011-4-21 12:11:00

就注册表内那个，导出备份后，删除那项目，然后看如何

最后将导出备份的那个注册表文件发我看看

青冥剑誓 - 2011-4-21 12:44:00

注册表删除了那项之后，我重启了四次都没有弹出这个窗口，
C:\Program Files\Common Files\svchest.tmp
这个路径我搜索了之后，它直接给了我一个打不开的提示窗口，隐藏文件也显示出来了，我还是找不到文件在哪里，那个注册表我发给楼主了，我不知道怎么上传，就麻烦楼主了上传下。。。

快来救命啊啊 - 2011-4-21 12:46:00

附件: 111.zip (2011-4-21 12:45:57, 468 B)
该附件被下载次数 266

在删除含有svchest.tmp的注册表键值后,启动弹窗画面消失.这是删除注册表键值之前导出的备份.

附件: 4.rar (2011-4-21 12:48:30, 26.91 K)
该附件被下载次数 306

这是含有svchest.tmp键值的注册表路径.

一剑飘飘 12:28:19
我搜索这个路径的时候C:\Program Files\Common Files\svchest.tmp，没有找到这个文件，但是出现了个打不开的svchest.tmp

正在让其打包中...

他的QQ号是 727190991 大家也可以直接加他就不用那么麻烦了.
注明是卡卡论坛的就行.
要是解决的问题麻烦到此帖解析一下问题的原因...让小弟学习一下.

谢谢大家拉.

天月来了 - 2011-4-21 13:23:00

文件就是已经没了的，那大版主一贯绕不过弯子的，不管他

注册表是某种情况下残留的启动项目而已

删除自然不提示了。

:kaka12:

networkedition - 2011-4-21 13:24:00

你删除那个注册表项即可了，原因就是病毒写的那个注册表项导致的。

快来救命啊啊 - 2011-4-21 18:13:00

我刚开始猜想也是杀软把病毒文件干掉了.
就还留下染毒启动项目.所以开机才会出现.
可一直不敢判断的原因就是他电脑老弹出窗口显示木马运行.还有扫描扫到HOME.SYS.
现在应该OK了的.晚上我问问看他.

青冥剑誓 - 2011-4-21 18:33:00

启动项问题基本解决了，就是不知道以后还会不会出现经常受到木马的攻击，，，，

谢谢楼主和各位版主！！！

瑞星卡卡安全论坛