张雁的回答:我也遇到了楼主这个问题,楼下的解答都不怎么对,经过我6个小时的奋战,终于搞清了他的真实面目 这是个病毒,它伪装得实在太好了,连360和卡巴都没扫到他,昨天中午花了3小时,今晚又花了3小时,终于基本解决了问题。 症状:最近经常跳出“CTHELPER.exe应用文件错误”的警报,启动组和服务里都没有这个项目,可他总是在进程里,关了他还是会自己启动,然后不定时得跳出警报,时间一长,咚咚咚的警报声听得我都担惊受怕的 经谷歌搜索,终于找到cthelper.exe是创新Creative公司Soundblaster系列的独立声卡的驱动应用程序 于是我重装了声卡驱动,根本没有变化,显然此cthelper.exe非彼cthelper.exe,经文件搜索,发现隐蔽于C:\program files\common files\和C:\program files\common files\microsoft\,留着老警报就干脆删了,于是在任务管理器里结束该进程然后删除这个两个位置的相同文件,可是过一会错误报警又出来了,再进common files文件夹,那个文件还在,我再做了遍删除,没急着把窗口关了,看着他又奇迹般得自动恢复了,调用以前的系统的Ghost备份文件,用Ghost explorer查看系统的Ghost备份文件(gho后缀)。发现原来这个common files下的CTHELPER.EXE、Ravstub.exe、com.run、krnln.fnr以及Microsoft文件都是以前没有的,再禁止CTHELPER.EXE进程后,我冒险把这几个文件删了,为什么冒险,因为还有Microsoft,别的我不认识,这个谁都认识吧,会不会误删呢,很快,Ravstub.exe先恢复了,其他几个删除的文件紧接着全部自动恢复了。 至此,可以完全判断是病毒了,竟然还打着Microsoft的幌子。 在注册表里搜了CTHELPER.EXE和Ravstub.exe,把相关的值全删了,又赶快把common files下的删了,可是没用,很快那些文件又恢复了,cthelper.exe应用程序错误又不断警报了,说明还没有斩草除根,晚上熊仔介绍了我一个查看进程的软件ProcessExplorer,用这个工具我发现cthelper.exe的上一级是smss.exe 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。 那么这个smss.exe又是不是那个smss.exe呢? 经注册表搜索,发现该smss.exe的位置是C:\program files\realtek,又挺象那么回事的,里面有之前见过面的krnln.fnr,这回应该找到病毒的老窝了,把复制的源头找到了,先删除了这个realtek文件夹,然后把common files文件夹下的那几个文件删了,再删注册表 重启后一切正常了,摸索了累计6小时终于解决了问题,欣慰 总结,这个cthelper.exe从警报上看似内存问题的,其实是打着Microsoft(微软)、 Realtek(瑞利)等著名品牌的伪装smss.exe病毒 参考资料:自己 飞海伦的回答:我也遇到了楼主这个问题,楼下的解答都不怎么对,经过我6个小时的奋战,终于搞清了他的真实面目 这是个病毒,它伪装得实在太好了,连360和卡巴都没扫到他,昨天中午花了3小时,今晚又花了3小时,终于基本解决了问题。 症状:最近经常跳出“CTHELPER.exe应用文件错误”的警报,启动组和服务里都没有这个项目,可他总是在进程里,关了他还是会自己启动,然后不定时得跳出警报,时间一长,咚咚咚的警报声听得我都担惊受怕的 经谷歌搜索,终于找到cthelper.exe是创新Creative公司Soundblaster系列的独立声卡的驱动应用程序 于是我重装了声卡驱动,根本没有变化,显然此cthelper.exe非彼cthelper.exe,经文件搜索,发现隐蔽于C:\program files\common files\和C:\program files\common files\microsoft\,留着老警报就干脆删了,于是在任务管理器里结束该进程然后删除这个两个位置的相同文件,可是过一会错误报警又出来了,再进common files文件夹,那个文件还在,我再做了遍删除,没急着把窗口关了,看着他又奇迹般得自动恢复了,调用以前的系统的Ghost备份文件,用Ghost explorer查看系统的Ghost备份文件(gho后缀)。发现原来这个common files下的CTHELPER.EXE、Ravstub.exe、com.run、krnln.fnr以及Microsoft文件都是以前没有的,再禁止CTHELPER.EXE进程后,我冒险把这几个文件删了,为什么冒险,因为还有Microsoft,别的我不认识,这个谁都认识吧,会不会误删呢,很快,Ravstub.exe先恢复了,其他几个删除的文件紧接着全部自动恢复了。 至此,可以完全判断是病毒了,竟然还打着Microsoft的幌子。 在注册表里搜了CTHELPER.EXE和Ravstub.exe,把相关的值全删了,又赶快把common files下的删了,可是没用,很快那些文件又恢复了,cthelper.exe应用程序错误又不断警报了,说明还没有斩草除根,晚上熊仔介绍了我一个查看进程的软件ProcessExplorer,用这个工具我发现cthelper.exe的上一级是smss.exe 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。 那么这个smss.exe又是不是那个smss.exe呢? 经注册表搜索,发现该smss.exe的位置是C:\program files\realtek,又挺象那么回事的,里面有之前见过面的krnln.fnr,这回应该找到病毒的老窝了,把复制的源头找到了,先删除了这个realtek文件夹,然后把common files文件夹下的那几个文件删了,再删注册表 重启后一切正常了,摸索了累计6小时终于解决了问题,欣慰 总结,这个cthelper.exe从警报上看似内存问题的,其实是打着Microsoft(微软)、 Realtek(瑞利)等著名品牌的伪装smss.exe病毒 参考资料:自己 郭金刚的回答:我也遇到了楼主这个问题,楼下的解答都不怎么对,经过我6个小时的奋战,终于搞清了他的真实面目 这是个病毒,它伪装得实在太好了,连360和卡巴都没扫到他,昨天中午花了3小时,今晚又花了3小时,终于基本解决了问题。 症状:最近经常跳出“CTHELPER.exe应用文件错误”的警报,启动组和服务里都没有这个项目,可他总是在进程里,关了他还是会自己启动,然后不定时得跳出警报,时间一长,咚咚咚的警报声听得我都担惊受怕的 经谷歌搜索,终于找到cthelper.exe是创新Creative公司Soundblaster系列的独立声卡的驱动应用程序 于是我重装了声卡驱动,根本没有变化,显然此cthelper.exe非彼cthelper.exe,经文件搜索,发现隐蔽于C:\program files\common files\和C:\program files\common files\microsoft\,留着老警报就干脆删了,于是在任务管理器里结束该进程然后删除这个两个位置的相同文件,可是过一会错误报警又出来了,再进common files文件夹,那个文件还在,我再做了遍删除,没急着把窗口关了,看着他又奇迹般得自动恢复了,调用以前的系统的Ghost备份文件,用Ghost explorer查看系统的Ghost备份文件(gho后缀)。发现原来这个common files下的CTHELPER.EXE、Ravstub.exe、com.run、krnln.fnr以及Microsoft文件都是以前没有的,再禁止CTHELPER.EXE进程后,我冒险把这几个文件删了,为什么冒险,因为还有Microsoft,别的我不认识,这个谁都认识吧,会不会误删呢,很快,Ravstub.exe先恢复了,其他几个删除的文件紧接着全部自动恢复了。 至此,可以完全判断是病毒了,竟然还打着Microsoft的幌子。 在注册表里搜了CTHELPER.EXE和Ravstub.exe,把相关的值全删了,又赶快把common files下的删了,可是没用,很快那些文件又恢复了,cthelper.exe应用程序错误又不断警报了,说明还没有斩草除根,晚上熊仔介绍了我一个查看进程的软件ProcessExplorer,用这个工具我发现cthelper.exe的上一级是smss.exe 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。 那么这个smss.exe又是不是那个smss.exe呢? 经注册表搜索,发现该smss.exe的位置是C:\program files\realtek,又挺象那么回事的,里面有之前见过面的krnln.fnr,这回应该找到病毒的老窝了,把复制的源头找到了,先删除了这个realtek文件夹,然后把common files文件夹下的那几个文件删了,再删注册表 重启后一切正常了,摸索了累计6小时终于解决了问题,欣慰 总结,这个cthelper.exe从警报上看似内存问题的,其实是打着Microsoft(微软)、 Realtek(瑞利)等著名品牌的伪装smss.exe病毒 参考资料:自己 |
