瑞星监控红伞,启动程序时提示找不到COMRes.dll
endurer
2008-02-11 第1版
一位网友的电脑,最近出现问题:瑞星实时监控图标变红伞;启动瑞星程序时提示找不到COMRes.dll,请偶帮忙处理。
下载HijackThis扫描 log 并分析,发现如下可疑项:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:06, on 2009-2-6
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:/WINDOWS/system32/wsctf.exe
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: (no name) - {6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} -C:/Program Files/Internet Explorer/PowerNeNt.Onz
O2 - BHO: (no name) - {BE9DEA3A-893C-43F3-BC33-99574575A9F0} -C:/Program Files/Internet Explorer/PowerDn.Rel
O4 - HKCU/../Run: [wsctf.exe] wsctf.exe
O4 - HKCU/../Run: [EXPLORER.EXE] EXPLORER.EXE
O9 - Extra button: (no name) - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - (no file)
O20 - AppInit_DLLs:C:/WINDOWS/system32/COMRes.dll ,kmon.dll
O21 - SSODL: 06243AFC - {06243AFC-5200-4470-8154-DD6ADAAE0A85} -C:/WINDOWS/system32/gmikjafc.dll
O21 - SSODL: 0054BE98 - {0054BE98-B4A4-40AF-A8E2-72D6AFB5136F} -C:/WINDOWS/system32/gglkbepo.dll
O21 - SSODL: E4F231E7 - {E4F231E7-02D9-44E4-B0CB-0EED03B56725} -C:/WINDOWS/system32/ekfijhen.dll
O21 - SSODL: 5209C918 - {5209C918-495D-4276-9BB8-AB395BF7E40C} -C:/WINDOWS/system32/ligpcpho.dll
O21 - SSODL: 6E6ED4F9 - {6E6ED4F9-31B7-486E-9C40-3E9E2C2DCD22} -C:/WINDOWS/system32/memedkfp.dll
O21 - SSODL: 8ECFCA6E - {8ECFCA6E-0B46-4870-83BF-2333B4B4A68C} -C:/WINDOWS/system32/oecfcame.dll
O21 - SSODL: 710D76BA - {710D76BA-DD8A-45E9-A48C-CAA1A337ADA3} -C:/WINDOWS/system32/nhgdnmba.dll
O21 - SSODL: 582DEE04 - {582DEE04-C487-4308-A0C5-FE77C6F93DAD} -C:/WINDOWS/system32/loideegk.dll
O21 - SSODL: C09D8047 - {C09D8047-F30A-485D-BEB1-4223219734A1} -C:/WINDOWS/system32/cgpdogkn.dll
O21 - SSODL: CF9E7E35 - {CF9E7E35-11BA-4F18-8B86-4B67BAC6F739} -C:/WINDOWS/system32/cfpenejl.dll
O21 - SSODL: B3EF55B0 - {B3EF55B0-52C9-42EF-90E7-12D570A1905D} -C:/WINDOWS/system32/bjefllbg.dll
O21 - SSODL: F72898C9 - {F72898C9-7CF8-4939-94E0-7C94E7C9EEEE} -C:/WINDOWS/system32/fniopocp.dll
看来是病毒替换了系统文件COMRes.dll,又被瑞星杀掉了。于是就出现了找不到COMRes.dll的问题。
到http://purpleendurer.ys168.com 下载 bat_do。
用 bat_do 将 wsctf.exe 打包备份,延时删除,改所选文件名,再延时删除。
修复除O20以外的以上各项。
运行卡卡安全助手删除O20中的C:/WINDOWS/system32/COMRes.dll
修复安装瑞星。
用WinRAR浏览各盘,发现有wsctf.exe,也用bat_do来处理了。
从C:/WINDOWS/system32/dllcache复制COMRes.dll到C:/WINDOWS/system32
重启电脑,瑞星监控图标恢复成绿伞,启动瑞星也不再提示找不到COMRes.dll了。
升级瑞星杀毒软件再全面查杀病毒
文件说明符 : D:/test/wsctf.exe
属性 : ASHR
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.2600.2180
说明 : Generic Host service for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 : Generic Host service for Win32 Services
产品版本 : 5.2600.2180
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
内部名称 : wsctf
源文件名 : wsctf.exe
创建时间 : 2009-2-11 17:37:11
修改时间 : 2006-9-24 22:18:38
大小 : 24576 字节 24.0 KB
MD5 : cbdcf0ab0561540891a3e466147a4ce4
SHA1: C3AC9EDF18A70304DEDE80AEABC0CA86AE9FED64
CRC32: cd11cf59
VirSCAN.org Scanned Report :
Scanned time : 2009/02/11 17:43:19 (CST)
Scanner results: 92%的杀软(34/37)报告发现病毒
File Name : wsctf.exe
File Size : 24576 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : cbdcf0ab0561540891a3e466147a4ce4
SHA1 : c3ac9edf18a70304dede80aeabc0ca86ae9fed64
Online report : http://virscan.org/report/e1105311d62cd0c982efbfc55b38bb0a.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.0.0.29 20090209183317 2009-02-09 2.73 Virus.Win32.VB.bu!IK
安博士V3 2009.02.11.01 2009.02.11 2009-02-11 1.17 Win-Trojan/VB.24576.C
AntiVir 7.9.0.76 7.1.2.6 2009-02-11 1.93 TR/VB.HM
安天 2.0.18 20090211.2180376 2009-02-11 0.12 Virus/Win32.VB.bu
Authentium 5.1.1 200902102327 2009-02-10 1.08 W32/Legendmir.CTS (Exact)
AVAST! 3.0.1 090210-0 2009-02-10 0.00 Win32:Looked-B [Trj]
AVG 7.5.52.442 270.10.20/1944 2009-02-10 1.89 Worm/VB.AEM
BitDefender 7.81008.2640398 7.23611 2009-02-11 2.46 Win32.Worm.WTC
CA (VET) 9.0.0.143 31.6.6349 2009-02-11 5.30 Win32/Jampork.D worm.
ClamAV 0.94.2 8978 2009-02-11 0.01 W32.VB-19
Comodo 3.0 973 2009-02-10 0.90 Worm.Win32.VB.NIH
CP Secure 1.1.0.715 2009.02.11 2009-02-11 6.83 W32.VB.ar
Dr.Web 4.44.0.9170 2009.02.11 2009-02-11 3.99 Win32.HLLW.Wtc
F-Prot 4.4.4.56 20090210 2009-02-10 1.07 W32/Legendmir.CTS (exact)
F-Secure 5.51.6100 2009.02.11.02 2009-02-11 2.52 Virus.Win32.VB.bu [AVP]
飞塔 2.81-3.117 10.22 2009-02-10 0.25 W32/LegendMir.CTS!tr.pws
GData 19.2987/19.220 20090211 2009-02-11 3.14 Virus.Win32.VB.bu [Engine:A]
ViRobot 20090210 2009.02.10 2009-02-10 0.41 -
Ikarus T3.1.01.45 2009.02.11.72286 2009-02-11 3.68 Virus.Win32.VB.bu
江民杀毒 11.0.706 2009.02.11 2009-02-11 1.48 Trojan/VB.Small.bix
卡巴斯基 5.5.10 2009.02.11 2009-02-11 0.02 Virus.Win32.VB.bu
金山毒霸 2008.9.8.18 2009.2.11.14 2009-02-11 0.61 Win32.Troj.VB.me.24576
迈克菲 5.3.00 5522 2009-02-10 5.16 PWS-LegMir
Microsoft 1.4306 2009.02.10 2009-02-10 4.32 Virus:Win32/VB.BU
mks_vir 2.01 2009.02.09 2009-02-09 2.63 Worm.HLLW.Wtc
Norman 6.00.02 6.00.00 2009-02-09 8.01 W32/VBTroj.DVI
熊猫卫士 9.05.01 2009.02.10 2009-02-10 2.86 Trj/VB.SG
趋势科技 8.700-1004 5.832.02 2009-02-10 0.02 TROJ_VB.DIE
Quick Heal 10.00 2009.02.11 2009-02-11 0.90 TrojanPSW.Lmir.bfb
瑞星 20.0 21.16.21.00 2009-02-11 0.91 Trojan.PSW.SBoy.b
Sophos 2.83.3 4.38 2009-02-11 2.34 Troj/VB-DBU
Sunbelt 4804 4804 2009-02-06 0.51 Trojan.Unclassified.gen
赛门铁克 1.3.0.24 20090210.003 2009-02-10 0.05 Trojan Horse
nProtect 20090211.01 3120004 2009-02-11 4.83 Win32.Worm.WTC
The Hacker 6.3.1.5 v00252 2009-02-10 0.85 -
VBA32 3.12.8.12 20090210.1636 2009-02-10 1.74 Virus.Win32.VB.bu
VirusBuster 4.5.11.10 10.101.9/894841 2009-02-11 1.11 -
