我碰到的问题可能比较典型Trojan.PSW.Lmir.lxq(昨晚可能网管不在,今天将最新进展发上来提问)
用瑞星软件反复杀病毒不清,恳请瑞星公司帮助(修改)
电脑上网染毒,发现以下现象:
1、 用最新版瑞星软件查杀,只发现一个病毒,名称为Trojan.PSW.Lmir.lxq。清除成功。重启后再杀,反复出现。染毒文件名均为C:\windows\system32\svchost.exe,反复杀之不尽。
2、 用kaka助手发现有流氓软件和不良插件,清除后再没发现。
3、 每次开机后瑞星监控先打开后被自动关闭。经导入旧的注册表文件(不能全部导入),此现象消除,瑞星监控已可正常打开。
4、 之后文件监控曾自动发现C:\program files\internet explorer\plugins\systemkb.sys有Trojan.PSW.QQpass.rmx活动,显示删除成功。
5、 用瑞星注册表修复工具,发现三个启动项
(1) y3iw,当前值为C:\windows\crasos.exe。
(2) ezhx2efys,当前值为c:\windows\svch0st.exe,位置为HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\run
(3) 5e98vzjk,当前值为c:\windows\iexpl0re.exe,位置为HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\run
尝试在注册表中删除,但册除不了。经导入旧的注册表后已清除y3iw项,清除此项后瑞星监控才不再被自动关闭。另两项仍然删除不了,也修改不了。只好先用瑞星注册表修复工具的“注册表启动项”将这两项前的小勾去掉。
(还有一项ctfmon.exe,当前值为c:\windows\system32\ctfmon.exe,也是修改不了,也只好先用瑞星注册表修复工具的“注册表启动项”将这项前的小勾去掉)。
后来用安全模式重启(昨天在瑞星社区看帖受到的启发),终于删去了注册表中所有与svch0st、iexpl0re有关的项(之前与crasos有关的项已删除)。
crasos.exe、svch0st.exe、iexpl0re.exe及所有带有crasos、svch0st、iexpl0re的文件均已被删除,搜索不再发现这些文件。
6、 染毒后上网时瑞星曾提示有winb.exe、winc.exe、wind.exe、wine.exe、winf.exe(都是c:\windows\temp目录)请求与外界交换信息,均禁止了。下网搜索没发现这些文件(可能是我用了痕迹清理)。再次上网时没再出现这些信息。
7、 做完以上这些,重启后再杀毒结果依旧。只发现一个病毒,名称为Trojan.PSW.Lmir.lxq。清除成功。重启后再杀,反复出现。染毒文件名均为C:\windows\system32\svchost.exe,反复杀之不尽。今天仍是如此。
8、 在安全模式下用瑞星杀毒不能发现此病毒。
9、 无论是正常模式或安全模式,用昨晚下载的瑞星QQ病毒专杀工具查杀均没有发现病毒
用瑞星网站提供的Hijack This软件扫描,得到结果如下(可能有些我上面没提到的真正有害的项目):
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:08:58, 日期 2007-2-8
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\program files\rising\rfw\rfwmain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
E:\瑞星升级\新建文件夹 (2)\HijackThis1991zww.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [RfwMain] "c:\program files\rising\rfw\rfwmain.exe" -startup
O4 - 启动项HKLM\\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD 启动加速器.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O23 - NT 服务: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
按下ctrl+alt+del键,用windows任务管理器检查进程,则发现有32个(好象比用Hijack This扫描出来的多),除去任务管理器本身taskmgr.exe和hijackthiss外,其余的是:
映像名称 用户名
alg.exe local service
ccenter.exe system
csrss.exe system
ctfmon.exe
explorer.exe
hpoevm08.exe
hpofxm08.exe
hpomau08.exe
hposts08.exe
lsass.exe system
ravmon.exe system
ravstub.exe system
ravtask.exe
realsched.exe
rfwmain.exe
services.exe system
smss.exe system
spoolsv.exe system
svchost.exe system
svchost.exe system
svchost.exe network service
svchost.exe system
svchost.exe network service
svchost.exe local service
svchost.exe system
system system
system idle process system
winlogon.exe system
——请问瑞星高手,该如何处理才能彻底消除病毒和各种隐患?
