系统诊断报告----十万火急~~~~~~~

过期的可乐

原帖由 sansa520 于 2007-7-4 03:40 PM 发表
灵儿的电脑还是蛮厉害的...卡巴扫出200多个危险...:L

病毒知道在他电脑里比较安全
有点水帖的嫌疑
请问杀干净了吗

netwinxp

建议把卡巴也装到WinPE里面，然后让她启动PE再杀一次，现在病毒很厉害(都是跟防火墙学的:L )

ppowers

O23 - 未知 - Service: BARCASE [管理 IP 安全客户端策略以及启动，为 IP 安全驱动程序提供存储支持。] - C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE C:\WINDOWS\SYSTEM32\WBEM\SNIJV.DLL,DllRegisterServer 1087 - (not running)


把C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE  删除掉
把C:\WINDOWS\SYSTEM32\WBEM                      删除掉

netwinxp

病毒多呢，不仅仅这几项，还是让杀毒的来处理吧

123

病毒一般都不想让你发现的，甚至病毒运行时用户完全看不出来，所以杀毒软件可能不管用。用拦截文件修改、注册表修改、网络访问的方法看看没有病毒，只要它一活动就能发现。

xywlty

原帖由 小灵儿 于 2007-7-4 01:39 PM 发表

有两个RUNDLL32.EXE文件,怎么办呢?

看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件


只要确定你的Rundll32.exe是运行在 /windows/system32下的并且名字没有错误 那就是正常的

如果不是 那就是你中了木马了!!!

guijx

用制作的瑞星引导杀毒光盘把系统进行一次杀毒，然后启动到安全模式再进行杀毒试试！

大雨落幽燕

楼主是学文科的，呵呵，那台机器性能极其强悍。
关键是没有良好的上网和使用计算机的习惯，没有防范计算机风险的能力，过分依赖于出问题后的补救，过分依赖于杀毒软件；

至于解决办法，我想这样的机子无论是重装还是杀毒，都不是最终的解决办法，在楼主提高能力之前，建议你还是把硬盘都格式化，每天用PE开机使用吧，毕竟除了上网，多媒体，办公软件之外，楼主并不需要其他的功能，而这些，PE都能对付了。硬盘单纯用于存放资料，没有系统，我看对楼主来说，是最安全，也最简单的了。

过期的可乐

原帖由 大雨落幽燕 于 2007-7-4 10:29 PM 发表
楼主是学文科的，呵呵，那台机器性能极其强悍。
关键是没有良好的上网和使用计算机的习惯，没有防范计算机风险的能力，过分依赖于出问题后的补救，过分依赖于杀毒软件；

至于解决办法，我想这样的机子无论是 ...

估计她看到了会流泪的
好习惯真的很重要。

netwinxp

ms小02没有吱声，不会是系统挂了吧?:o

大雨落幽燕

那么好几个文件都删除不掉的。系统设备中的隐含设备，查看非即插即用设备详细的驱动信息，找到
C:\WINDOWS\system32\drivers\ogxyje7cus.sys
C:\WINDOWS\system32\drivers\t2ichs6.sys
C:\WINDOWS\system32\drivers\kmsinput.sys -
C:\WINDOWS\system32\drivers\lxjgvr.sys
C:\WINDOWS\system32\drivers\tj.sys
这几个设备并停用，接着删除系统相关服务，如果重启后系统没有问题然后再删除以上文件，然后在杀毒吧


不知道楼主都装了什么软件，楼主个人承担风险哦，要不要备份资料，自己决定。
这样的电脑，还在用中国工商银行的网上银行，怕怕啊。要不，我给楼主传点东西？呵呵

netwinxp

重装了，彻底解决了;P

小灵儿

原帖由 大雨落幽燕 于 2007-7-4 11:04 PM 发表
那么好几个文件都删除不掉的。系统设备中的隐含设备，查看非即插即用设备详细的驱动信息，找到
C:\WINDOWS\system32\drivers\ogxyje7cus.sys
C:\WINDOWS\system32\drivers\t2ichs6.sys
C:\WINDOWS\system3 ...

不会吧，你怎么知道我在用网上银行呢？？？我是一直在用啊。。。。

netwinxp

O16 - 安全 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (中国工商银行个人银行) - https：//mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
这个可以看出来，你最好禁用internet的Activex，然后把工行加入到受信任的网站，酱紫相对安全一点。

小灵儿

楼上告诉我怎么设吧？，，快告诉我吧。。。。

netwinxp

水坛的那个帖子有附图

小灵儿

我去看看吧.............早就不知道到哪里去了呢...

netwinxp

那本版的另一个帖子已经贴上附图了

kangyi

原帖由 netwinxp 于 2007-7-4 03:30 PM 发表
一个在东莞一个在洛阳，应该是通过远程来完成的。

消息好灵通啊:hug: ;P

小灵儿

唉,没办法了.........重装了系统还是有很多问题的.

无翼鸟飞翔

TO 小02:建议你备份重要资料厚全盘格式化.然后再装。.
最重要的.是养成良好的上网习惯。.
不熟悉电脑的。.应该开WINDOWS UPDATA.然后开杀软开FIREWALL

sansa520

这次吸收了点经验了吧..

9304453

QQ：9304453

6618

原帖由 123 于 2007-7-4 12:51 PM 发表
太乱了，看不懂，用这个看看

下载了MM提供的东东，呵呵，顺带学习一下。



@echo off
echo 先关掉所有正在运行的程序，然后按任何键继续。窗口自动关闭后
echo 把剩下的暗凶改进版.txt里面的内容发到电脑爱好者俱乐部安全版求助。
pause
rem 定义储存文件
set result=暗凶改进版.txt
del %result%
rem 读取进程信息
echo -------------------进程及其启动命令------------------------- > %result%
echo - >> %result%
暗凶门诊.com -l >> %result%

rem 读取注册表启动项
cls
echo - >> %result%
echo -------------------注册表启动项------------------------- >> %result%
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> %result%
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> %result%
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx >> %result%
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run >> %result%
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce >> %result%
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run >> %result%
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run >> %result%
reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run" >> %result%
reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load" >> %result%
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" >> %result%
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell" >> %result%
reg query "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" >> %result%
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell" >> %result%
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" >> %result%
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman" >> %result%
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup" >> %result%
reg query HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup >> %result%
reg query HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon >> %result%
reg query HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon >> %result%
rem 读取引导执行
cls
echo - >> %result%
echo -------------------引导执行---------------------------- >> %result%
reg query "HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute" >> %result%
rem 读取初始程序
cls
echo - >> %result%
echo -------------------初始程序---------------------------- >> %result%
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls" >> %result%
rem 读取资源管理器加载项
cls
echo - >> %result%
echo -------------------资源管理器加载项--------------------- >> %result%
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks >> %result%
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >> %result%
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >> %result%
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler >> %result%
rem 读取IE加载项
cls
echo - >> %result%
echo -------------------IE加载项---------------------------- >> %result%
reg query "HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks" >> %result%
reg query "HKCU\Software\Microsoft\Internet Explorer\Extensions" >> %result%
reg query "HKLM\Software\Microsoft\Internet Explorer\Extensions" >> %result%
rem 读取映像劫持
cls
echo - >> %result%
echo -------------------映像劫持---------------------------- >> %result%
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" >> %result%
reg query "HKLM\Software\Microsoft\Command Processor\Autorun" >> %result%
reg query "HKCU\Software\Microsoft\Command Processor\Autorun" >> %result%
reg query "HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(默认)" >> %result%
rem 读取HOSTS文件
cls
echo - >> %result%
echo -------------------HOSTS文件内容---------------------------- >> %result%
type %systemroot%\system32\drivers\etc\hosts >> %result%
rem 读取autorun.inf?
cls
echo - >> %result%
echo -------------------各个盘的autorun.inf---------------------------- >> %result%
if exist c:\autorun.inf (
echo ------C盘的autorun.inf内容:------- >> %result%
type c:\autorun.inf >> %result%
)
if exist d:\autorun.inf (
echo ------D盘的autorun.inf内容:------- >> %result%
type d:\autorun.inf >> %result%
)
if exist e:\autorun.inf (
echo ------E盘的autorun.inf内容:------- >> %result%
type e:\autorun.inf >> %result%
)
if exist f:\autorun.inf (
echo ------F盘的autorun.inf内容:------- >> %result%
type f:\autorun.inf >> %result%
)
if exist g:\autorun.inf (
echo ------G盘的autorun.inf内容:------- >> %result%
type g:\autorun.inf >> %result%
)
if exist h:\autorun.inf (
echo ------H盘的autorun.inf内容:------- >> %result%
type h:\autorun.inf >> %result%
)
if exist i:\autorun.inf (
echo ------I盘的autorun.inf内容:------- >> %result%
type i:\autorun.inf >> %result%
)
if exist j:\autorun.inf (
echo ------J盘的autorun.inf内容:------- >> %result%
type j:\autorun.inf >> %result%
)
if exist k:\autorun.inf (
echo ------K盘的autorun.inf内容:------- >> %result%
type k:\autorun.inf >> %result%
)
if exist l:\autorun.inf (
echo ------L盘的autorun.inf内容:------- >> %result%
type l:\autorun.inf >> %result%
)
rem 自杀
del /Q /F 暗凶门诊.com
del /Q /F 暗凶.bat

netwinxp

其实大部分的映像绑架是在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths怎么能少了reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths">>%result%呢:lol

[ 本帖最后由 netwinxp 于 2007-7-13 03:13 AM 编辑 ]

netwinxp

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options里面的大多是系统文件动态库，绑架这个很有可能导致系统崩溃;P

6618

原帖由 netwinxp 于 2007-7-13 03:16 AM 发表
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options里面的大多是系统文件动态库，绑架这个很有可能导致系统崩溃;P

呵呵，绑架这个是不会导致系统崩溃的，现在的很多病毒都绑架这个。