1月4日中午一进UC的电脑医生房间,卡巴斯基就报了病毒,但无法删除.于是赶紧去安全模式下清理了UC的临时文件和IE临时文件夹,回到正常模式卡巴斯基还是报了毒,感觉有问题,又去安全模式进行了全盘扫描,没有报毒.

查查进程,发现于个叫ltnward.exe的陌生进程,并且在系统盘system32下有ltnward.exe和ltnwardl.dll文件,在Prefetch文件夹下有个LTNWARD.EXE-382FD329.pf文件.

注册表编辑器里多了

一、[HKEY_CLASSES_ROOT\CLSID\{2709089A-DCD8-4a03-865F-08207179FD08}]
@="C:\\WINDOWS\\system32\\ltnwardl.dll"

二、[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}]
"UseSearchOptions"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU]
"000"="ltnward"
"001"="ltn"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="ltn"

三、[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
下多了"C:\\WINDOWS\\system32\\ltnward.exe"="ltnward 应用程序"一项


四、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Disabled]
"ltnward"="rem C:\\WINDOWS\\system32\\ltnward.exe"


这么四项.


请大家懂行的看下这是不是病毒  有关文件和注册表都做有备份的  如有需要研究的可以联系QQ3915240

是不是这东西啊

http://forum.ikaka.com/topic.asp?board=28&artid=8246040

【回复“僧闲呱呱”的帖子】
可疑程序

是啊  比较可疑，哈哈哈
上报瑞星看看是不是病毒，是不是让他们决定，在咱们手里肯定是可以程序

发给我一份：1987noodle0158@sina.com

瑞星不报的话可以拿来看看！！哈哈，特殊渠道上报！

可是为什么楼主是在系统目录下发现的呢，而我是在星空急速目录下发现的啊，而且ltnwardl.dll还被报毒了。可以看看我的帖子http://forum.ikaka.com/topic.asp?board=28&artid=8246040