一、提問

C:\WINDOWS\system32\LgSym.dll: 檢測到 木馬程序 Trojan-PSW.Win32.OnLineGames.fq 
C:\WINDOWS\system32\Qqzos.dll: 檢測到 木馬程序 Trojan-PSW.Win32.OnLineGames.kr 
我按照您空間里一些帖子的方法進(jìn)行了處理，雖然卡巴不出現(xiàn)上述提示了但是卻有了新的麻煩，每次打開電腦卡巴首先會提示我： 
C:\WINDOWS\system32\winrpcs.exe: 檢測到新變種 風(fēng)險軟件 Hidden object 
然后就是： 
C:\WINDOWS\system32\dfsdfsg.exe: 檢測到新變種 風(fēng)險軟件 Hidden object 
接著各種各樣的*.EXE 文件檢測到這個風(fēng)險軟件 Hidden object .......卡巴也查不出毒來每隔一段時間就蹦出關(guān)于這個Hidden object提示來.是不是上次的病毒我沒有處理干凈還是又中新招。我是拿它沒有辦法了拜求崔老師給出一個解決的方案. 
補充：好長一段時間以來網(wǎng)絡(luò)時常會莫名其妙的斷掉網(wǎng)絡(luò)連接里確是顯示連接著.可無論網(wǎng)頁或網(wǎng)路程序到找不到網(wǎng)絡(luò).只能斷貓.我是鐵通的開始以為是網(wǎng)絡(luò)質(zhì)量不好.可是我隔壁的從沒出現(xiàn)過這種問題 
SREng的掃描日志略

二、分析

1. 殺毒前關(guān)閉系統(tǒng)還原(Win2000系統(tǒng)可以忽略）：右鍵 我的電腦 ，屬性，系統(tǒng)還原，在所有驅(qū)動器上關(guān)閉系統(tǒng)還原 打勾即可。 
清除IE的臨時文件：打開IE 點工具-->Internet選項 : Internet臨時文件，點“刪除文件”按鈕 ，將 刪除所有脫機內(nèi)容 打勾，點確定刪除。 

關(guān)閉QQ等應(yīng)用程序。進(jìn)行如下操作前，請不要進(jìn)行任何雙擊打開磁盤的操作。所有下載的工具都直接放桌面上。 

2.用強制刪除工具XDelBox(文件刪除終結(jié)者)刪除下面列出的文件。 

【刪除時復(fù)制所有要刪除文件的路徑，在待刪除文件列表里點擊右鍵選擇從剪貼板導(dǎo)入。導(dǎo)入后在要刪除文件上點擊右鍵，選擇立刻重啟刪除，電腦會重啟進(jìn)入DOS界面進(jìn)行刪除操作，刪除完成后會自動重啟進(jìn)入你安裝的操作系統(tǒng)。操作前注意保存電腦中正在打開的文檔。有關(guān)XDelBox的詳細(xì)說明請看xdelbox1.2目錄下help.chm?！?nbsp;

Code:
D:\Autorun.inf 
D:\pagefile.pif 
e:\Autorun.inf 
e:\pagefile.pif 
C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe 
C:\WINDOWS\servicea.exe 
C:\WINDOWS\system32\dfsdfsg.exe 
C:\WINDOWS\system32\rpcsddos.exe 
C:\WINDOWS\system32\winrpcs.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys 


~~~注意 文中的GLG是這位求助者的用戶名，也可能是王.丫/Administrator等。 要看中毒者的具體用戶名了。。

3. 用工具 SREng 刪除如下各項 

【打開SREng后提醒“函數(shù)的內(nèi)容與預(yù)期值不符他們可能被一些惡意的軟件所修改”的錯誤請忽略，裝殺軟后的正常修改?！?nbsp;
================================== 

Code:
啟動項目 -->注冊表 的如下項刪除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
<wu1jz><C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe> [N/A] 
<dlf67keir><C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe> [N/A] 
<64qq0fg020gw7><C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe> [N/A] 
<uewhqm4x8><C:\WINDOWS\servicea.exe> [N/A] 

================================== 
啟動項目 -->服務(wù)-->Win32服務(wù)應(yīng)用程序 的如下項刪除 
[sadsaads / afdsfsgg][Stopped/Auto Start] 
<C:\WINDOWS\system32\dfsdfsg.exe><Microsoft Corporation> 
[Remote Procedure Call System(RPCSDDOS) / RpcSDDOS][Stopped/Auto Start] 
<C:\WINDOWS\system32\rpcsddos.exe><N/A> 
[Windows RPCS / WINRPCS][Stopped/Auto Start] 
<C:\WINDOWS\system32\winrpcs.exe><N/A> 

================================== 
啟動項目 -->服務(wù)-->驅(qū)動程序的如下項刪除(如果刪不掉，就設(shè)置類型為disabled!) 
[king001 / king001][Stopped/Manual Start] 
<\??\C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys><N/A> 
 

最新評論