本人每次启机的时候总弹一个框出来。
temp2.exe遇到问题需要关闭。。。。。。。如果你处于进程中进程有可能丢失。
然后它给你两个选择。一个是 调试， 一个是关闭。
不知道怎么搞掉它。每次开了机都有这个。我觉得特不爽。。
大家帮忙谢谢

机器中毒了，扫描一个日志吧。大家帮你分析一下

我的没有联网线都是用U盘COPY回去的。
扫描了截图工具截一个带过来？

Quote:

引用第2楼天光云影于2007-01-19 11:34发表的:
我的没有联网线都是用U盘COPY回去的。
扫描了截图工具截一个带过来？

我说的是用这个System Repair Engineer2.3工具扫描一个系统日志才能分析你系统中什么问题。

OK我照办。等下还要麻烦你了

自己弄了个盗Q黑侠。。结果忘了。再把U盘插上去已经晚了

你有没有扫描日志。我只能在网上给你找了一些关于temp2的问题解决方案。
不知道你的问题是不是这样的。如果是这样的建议按照下面的方式能不能解决
temp1，temp2，在system32下，他们不是系统文件。是一种捆绑式木马的专有程序。通过temp1/2来释放自己，
建议查杀木马。解释一下temp1.exe：这是一种利用木马捆绑工具生成的寄生木马。temp1表示的是从捆绑中“解压”出来了。


解决问题的，参考以下步骤：

1、重启F8进入安全模式；

2、按Ctrl+Alt+Del，调出任务管理器，结束temp1,temp2(一般情况下可能任务管理器中没有，也就是没有加载，可以跳过这一项)；

3、在工具——文件夹选项——查看，去掉“隐藏受保护系统文件”和选取“显示所有文件”；

4、点击右键选择打开进入所有硬盘盘符，删掉“autorun.inf，copy.exe，host.exe三个文件”；

5、进入c:\windows，删掉xcopy.exe和svchost.exe，大家不要担心，这两个不是系统文件（实为病毒），真正的文件在system32里；

6、进入c:\windows\system32，删除temp1.exe和temp2.exe；

7、（关键一步）点击“开始”——“运行”，输入“regedit”，打开注册表编辑器，进入“HKEY_CURRENT_USER\Software\Micosoft\Windows NT\Current Version\Windows”，删除Load字符串值，或打开清空里面的内容“c:\windows\svchost.exe”。

至此，病毒完全清理完毕，呵呵！！！

当然，清理完后大家可以把文件夹选项的相关内容改回来，具体看大家各自的喜好。

值得注意的是，病毒主要的感染方式为Xp特有的自动播放功能，我就是插U盘感染的。因此，对防护要求较高的同学可以屏蔽这一项，具体方式为：

点击开始——运行，输入“gpedit.msc”，打开组策略管理器，进入计算机配置——管理模板——系统，把“关闭自动播放”启用。

这么全应该没问题了。呵呵

下面是我扫描的报告
==================================
服务
[C-DillaCdaC11BA / C-DillaCdaC11BA][Running/Auto Start]
<C:\WINDOWS\system32\drivers\CDAC11BA.EXE><Macrovision>
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[SRS Labs License Service / SRS Labs License Service][Stopped/Manual Start]
<"C:\Program Files\Common Files\SRS Labs Shared\Service\srslabslicenseservice.exe"><SRS Labs>

==================================
驱动程序
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Running/Manual Start]
<system32\drivers\ac97intc.sys><Intel Corporation>
[CdaC15BA / CdaC15BA][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS><Macrovision Europe Ltd>
[nv / nv][Running/Manual Start]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[SRS Labs Audio Sandbox (WDM) / SRS_SSCFilter][Running/Manual Start]
<system32\drivers\srs_sscfilter.sys><N/A>
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
<system32\DRIVERS\tcpip.sys><Microsoft Corporation>

==================================
浏览器加载项
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <D:\Adobe Reader6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>

==================================
正在运行的进程
[PID: 420][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 476][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 500][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 544][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 556][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 696][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 744][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 780][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 828][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 880][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1116][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2649 (xpsp.050406-1732)]
  [C:\WINDOWS\system32\AcSignIcon.dll] [Autodesk, 16.0.0.86]
  [C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll] [Autodesk, 16.0.0.86]
  [D:\Adobe Reader6.0\Reader\ActiveX\AcroIEHelper.dll] [Adobe Systems Incorporated, 6.0.1.2003110300]
  [C:\WINDOWS\system32\msdmo.dll] [N/A, N/A]
  [C:\Program Files\WinRAR\rarext.dll] [N/A, N/A]
  [C:\WINDOWS\system32\icm32.dll] [Microsoft Corporation, 5.1.2600.2709 (xpsp_sp2_gdr.050628-1518)]
  [C:\WINDOWS\system32\mpg2splt.ax] [N/A, N/A]
[PID: 1304][C:\WINDOWS\system32\drivers\CDAC11BA.EXE] [Macrovision, 4.20.020]
[PID: 1700][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1876][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1884][C:\WINDOWS\system32\temp1.exe] [N/A, N/A]
[PID: 1936][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1424][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[PID: 1236][C:\Program Files\TTPlayer\TTPlayer.exe] [Alen Soft, 4, 6, 9, 0]
  [C:\Program Files\TTPlayer\ttpcomm.dll] [N/A, N/A]
  [C:\Program Files\TTPlayer\ttpres.dll] [Alen Soft, 4, 6, 9, 0]
  [C:\Program Files\TTPlayer\AddIn\ttp_asf.dll] [N/A, N/A]
  [C:\Program Files\TTPlayer\AddIn\ttp_aac.dll] [N/A, N/A]
  [C:\Program Files\TTPlayer\AddIn\ttp_ac3dts.dll] [N/A, N/A]
  [C:\Program Files\TTPlayer\AddIn\ttp_lrcsh.dll] [N/A, N/A]
[PID: 1068][D:\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]

==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
[D:\]
[autorun]
Shellexecute=copy.exe
[E:\]
[autorun]
Shellexecute=copy.exe
[F:\]
[autorun]
Shellexecute=copy.exe

==================================
HOSTS 文件
127.0.0.1     localhost

==================================
API HOOK
N/A

==================================


[/CODE]

Quote:

引用第7楼lfengnet于2007-01-19 13:10发表的:
你有没有扫描日志。我只能在网上给你找了一些关于temp2的问题解决方案。
不知道你的问题是不是这样的。如果是这样的建议按照下面的方式能不能解决
temp1，temp2，在system32下，他们不是系统文件。是一种捆绑式木马的专有程序。通过temp1/2来释放自己，
建议查杀木马。解释一下temp1.exe：这是一种利用木马捆绑工具生成的寄生木马。temp1表示的是从捆绑中“解压”出来了。

.......

中毒了，用这个方法挺有效的

Quote:

引用第9楼天光云影于2007-01-20 11:58发表的:
下面是我扫描的报告
==================================
服务
[C-DillaCdaC11BA / C-DillaCdaC11BA][Running/Auto Start]
<C:WINDOWSsystem32driversCDAC11BA.EXE><Macrovision>
.......

你的日志不完全啊。少了启动项==东西。
不过看这里就知道和我发的解决问题大同小异了。
Autorun.inf
[D:\]
[autorun]
Shellexecute=copy.exe
[E:\]
[autorun]
Shellexecute=copy.exe
[F:\]
[autorun]
Shellexecute=copy.exe

已解决谢谢了呵呵