费尔发疯了

28654621

刚刚在看网页 下了个压缩包 解包时候系统提示WINRAR错误不能使用 紧接着系统明显变慢 弹出explorer初始化失败 ====》桌面消失 宽带断网 风云墙退出  打开费尔发现隔离区里面的rundll32.exe和explorer.exe  恢复后把费尔设置成默认（以前为了安静 设置都是静默模式）费尔还是弹出主动防御窗口 下面是日志记录

2008-01-05 14:11:10, 成功 结束进程 C:\WINDOWS\system32\rundll32.exe(PID:1176), 返回代码: 8
2008-01-05 14:11:10, 发现 危险进程(PID:1176): C:\WINDOWS\system32\rundll32.exe. 产品名称: Microsoft(R) Windows(R) Operating System. 文件版本: 5.1.2600.2180. 公司名称: Microsoft Corporation. 文件描述: Run a DLL as an App. 数字签名: 没有发现签名. 危险级别: 中. 级别评分: 36.400880. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-05 14:11:29, 失败 结束进程 C:\WINDOWS\system32\rundll32.exe(PID:1176), 返回代码: 5
2008-01-05 14:11:29, 删除文件 C:\WINDOWS\system32\rundll32.exe. (成功删除)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。 备份返回代码: 0, 删除返回代码: -1
2008-01-05 14:14:25, 成功 结束进程 C:\WINDOWS\explorer.exe(PID:540), 返回代码: 1816
2008-01-05 14:14:25, 发现 危险进程(PID:540): C:\WINDOWS\explorer.exe. 产品名称: Microsoft(R) Windows(R) Operating System. 文件版本: 6.0.2900.2180. 公司名称: Microsoft Corporation. 文件描述: Windows Explorer. 数字签名: 没有发现签名. 危险级别: 中. 级别评分: 36.400880. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-05 14:14:31, 成功 结束进程 C:\Windows\explorer.exe(PID:1812), 返回代码: 0
2008-01-05 14:14:31, 发现 危险进程(PID:1812): C:\Windows\explorer.exe. 产品名称: Microsoft(R) Windows(R) Operating System. 文件版本: 6.0.2900.2180. 公司名称: Microsoft Corporation. 文件描述: Windows Explorer. 数字签名: 没有发现签名. 危险级别: 中. 级别评分: 36.408880. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-05 14:14:59, 失败 结束进程 C:\WINDOWS\explorer.exe(PID:540), 返回代码: 5
2008-01-05 14:14:59, 删除文件 C:\WINDOWS\explorer.exe. (成功删除)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。 备份返回代码: 0, 删除返回代码: -1
2008-01-05 14:14:59, 成功 结束进程 C:\Windows\explorer.exe(PID:1812), 返回代码: 6
2008-01-05 14:15:04, 删除文件 C:\Windows\explorer.exe. (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。 备份返回代码: 4, 删除返回代码: 2
2008-01-05 14:15:04, 成功 结束进程 C:\Windows\explorer.exe(PID:1812), 返回代码: 6
2008-01-05 14:15:04, 删除文件 C:\Windows\explorer.exe. (备份失败，删除失败)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。 备份返回代码: 4, 删除返回代码: -1

另外 费尔把启动项也都删除了 （我已经在注册表监控里面设置信任了）

什么原因啊 我想应该不是我个人的原因吧 什么设置也没动 全盘扫描没病毒

月影天心

汗~~~，这个问题严重，恢复rundll32.exe和explorer.exe，卸载费尔， 看看重启能否恢复正常

zzh161

把你的这两个文件打包，发上来

samancy

你的费尔可能内部的有关规则的文件丢失或损坏!你要下个完整的安装包进行修复安装!

费饭饭

这个，同学貌似也遇到了，不过没这么严重

关注中。。。。。。

不要上网了，离线杀毒

28654621

感觉是软件自身的问题

自动隔离的2个文件费尔在线扫描显示无毒 样本区的多引擎扫描也显示无毒

下的压缩包有问题吧

Filseclab

从你提供的报警信息来看比较奇怪，不太正常，正常情况下是不会出现这种报警的，你的费尔可能有些文件受到了损坏，或者有其他HIPS软件或系统干扰了或中断了费尔的判断过程致使侦测出现偏差。建议你从隔离中恢复被隔离的iexplore.exe、rundll32.exe文件，然后按下面的方法重新安装你的费尔：
1、用Windows的安全模式启动您的电脑（如果您现在可以正常的启动电脑可以不用这一步）。
2、先卸载现在安装的费尔托斯特安全，卸载完成后重启电脑，并且一定要立即重启电脑。
3、重启后，通过资源管理器把费尔托斯特安全安装的整个目录全部删除（一般是 C:\Program Files\Filseclab\Twister），并且要确保您系统中只有这一处安装了费尔托斯特安全，如果其他目录下也有请也删除它们，这一步非常重要，一定要做到位，否则将可能还是无法解决问题。
4、从我们网上 http://www.filseclab.com/download/downloads.htm 下载最新的费尔托斯特安全V7 R3(7.31)完整安装包。
5、下载完成后按提示一步步安装它，执行完成后再按软件提示重启电脑。
6、这样如果一切顺利并且操作无误，那么电脑启动后费尔托斯特安全就应该可以正常使用了。

lk0130_cn

楼主是不是所有的选项都开了，而且动态防御开的高啊？都开的话会有很多提示，比较适合高级用户。都开了费尔提示频繁，而且要楼主能自己判断是否是病毒