一、提問(wèn)

C:\WINDOWS\system32\LgSym.dll: 檢測(cè)到 木馬程序 Trojan-PSW.Win32.OnLineGames.fq 
C:\WINDOWS\system32\Qqzos.dll: 檢測(cè)到 木馬程序 Trojan-PSW.Win32.OnLineGames.kr 
我按照您空間里一些帖子的方法進(jìn)行了處理，雖然卡巴不出現(xiàn)上述提示了但是卻有了新的麻煩，每次打開電腦卡巴首先會(huì)提示我： 
C:\WINDOWS\system32\winrpcs.exe: 檢測(cè)到新變種 風(fēng)險(xiǎn)軟件 Hidden object 
然后就是： 
C:\WINDOWS\system32\dfsdfsg.exe: 檢測(cè)到新變種 風(fēng)險(xiǎn)軟件 Hidden object 
接著各種各樣的*.EXE 文件檢測(cè)到這個(gè)風(fēng)險(xiǎn)軟件 Hidden object .......卡巴也查不出毒來(lái)每隔一段時(shí)間就蹦出關(guān)于這個(gè)Hidden object提示來(lái).是不是上次的病毒我沒有處理干凈還是又中新招。我是拿它沒有辦法了拜求崔老師給出一個(gè)解決的方案. 
補(bǔ)充：好長(zhǎng)一段時(shí)間以來(lái)網(wǎng)絡(luò)時(shí)常會(huì)莫名其妙的斷掉網(wǎng)絡(luò)連接里確是顯示連接著.可無(wú)論網(wǎng)頁(yè)或網(wǎng)路程序到找不到網(wǎng)絡(luò).只能斷貓.我是鐵通的開始以為是網(wǎng)絡(luò)質(zhì)量不好.可是我隔壁的從沒出現(xiàn)過(guò)這種問(wèn)題 
SREng的掃描日志略

二、分析

1. 殺毒前關(guān)閉系統(tǒng)還原(Win2000系統(tǒng)可以忽略）：右鍵 我的電腦 ，屬性，系統(tǒng)還原，在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原 打勾即可。 
清除IE的臨時(shí)文件：打開IE 點(diǎn)工具-->Internet選項(xiàng) : Internet臨時(shí)文件，點(diǎn)“刪除文件”按鈕 ，將 刪除所有脫機(jī)內(nèi)容 打勾，點(diǎn)確定刪除。 

關(guān)閉QQ等應(yīng)用程序。進(jìn)行如下操作前，請(qǐng)不要進(jìn)行任何雙擊打開磁盤的操作。所有下載的工具都直接放桌面上。 

2.用強(qiáng)制刪除工具XDelBox(文件刪除終結(jié)者)刪除下面列出的文件。 

【刪除時(shí)復(fù)制所有要?jiǎng)h除文件的路徑，在待刪除文件列表里點(diǎn)擊右鍵選擇從剪貼板導(dǎo)入。導(dǎo)入后在要?jiǎng)h除文件上點(diǎn)擊右鍵，選擇立刻重啟刪除，電腦會(huì)重啟進(jìn)入DOS界面進(jìn)行刪除操作，刪除完成后會(huì)自動(dòng)重啟進(jìn)入你安裝的操作系統(tǒng)。操作前注意保存電腦中正在打開的文檔。有關(guān)XDelBox的詳細(xì)說(shuō)明請(qǐng)看xdelbox1.2目錄下help.chm。】 

Code:
D:\Autorun.inf 
D:\pagefile.pif 
e:\Autorun.inf 
e:\pagefile.pif 
C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe 
C:\WINDOWS\servicea.exe 
C:\WINDOWS\system32\dfsdfsg.exe 
C:\WINDOWS\system32\rpcsddos.exe 
C:\WINDOWS\system32\winrpcs.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys 


~~~注意 文中的GLG是這位求助者的用戶名，也可能是王.丫/Administrator等。 要看中毒者的具體用戶名了。。

3. 用工具 SREng 刪除如下各項(xiàng) 

【打開SREng后提醒“函數(shù)的內(nèi)容與預(yù)期值不符他們可能被一些惡意的軟件所修改”的錯(cuò)誤請(qǐng)忽略，裝殺軟后的正常修改。】 
================================== 

Code:
啟動(dòng)項(xiàng)目 -->注冊(cè)表 的如下項(xiàng)刪除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
<wu1jz><C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe> [N/A] 
<dlf67keir><C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe> [N/A] 
<64qq0fg020gw7><C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe> [N/A] 
<uewhqm4x8><C:\WINDOWS\servicea.exe> [N/A] 

================================== 
啟動(dòng)項(xiàng)目 -->服務(wù)-->Win32服務(wù)應(yīng)用程序 的如下項(xiàng)刪除 
[sadsaads / afdsfsgg][Stopped/Auto Start] 
<C:\WINDOWS\system32\dfsdfsg.exe><Microsoft Corporation> 
[Remote Procedure Call System(RPCSDDOS) / RpcSDDOS][Stopped/Auto Start] 
<C:\WINDOWS\system32\rpcsddos.exe><N/A> 
[Windows RPCS / WINRPCS][Stopped/Auto Start] 
<C:\WINDOWS\system32\winrpcs.exe><N/A> 

================================== 
啟動(dòng)項(xiàng)目 -->服務(wù)-->驅(qū)動(dòng)程序的如下項(xiàng)刪除(如果刪不掉，就設(shè)置類型為disabled!) 
[king001 / king001][Stopped/Manual Start] 
<\??\C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys><N/A> 
 

最新評(píng)論