瑞星卡卡安全论坛

家里的电脑前几天中毒，发现有个病毒总是清除不掉，就是在瑞星网首页7月31日所播报的安德夫木马下载器变种AFT（Trojan.DL.Win32.Undef.aft），感染的文件是什么framdee.ttf，但是瑞星不能彻底杀掉它，正常启动后瑞星监控会提示该文件感染这个病毒，然后选择清除病毒或删除染毒文件后不再出现提示，但是如果再次重启还会再出来，烦躁死了！！
我扫描了日志上来，大家帮忙看看怎么办才好！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; TheWorld)

附件: SREngLOG.log

使用Xdelbox删除以下文件（关于软件的下载使用楼主请参考http://bbs.ikaka.com/showtopic-8442813.aspx）
C:\WINDOWS\system32\regcsp.exe
C:\WINDOWS\system32\drivers\cxbqpray.sys
SystemRoot\system32\drivers\eth8023.sys
C:\DOCUME~1\Owner\LOCALS~1\Temp\_tmp.bat

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的<RegNetPass><C:\WINDOWS\system32\regcsp.exe>  []

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\regcsp.exe
c:\windows\system32\jhfrxz.dll
c:\docume~1\owner\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\eth8023.sys
c:\windows\system32\drivers\cxbqpray.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[RegNetPass]    <C:\WINDOWS\system32\regcsp.exe>
[ThunderAdvise]    <>
[{7914E0AA-ECCB-4311-B584-C49538227824}]    <C:\WINDOWS\system32\jhfrxz.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[geb / geb]    <\??\C:\DOCUME~1\Owner\LOCALS~1\Temp\_tmp.bat>
[eth8023 / eth8023]    <\SystemRoot\system32\drivers\eth8023.sys>
[cxbqpray / cxbqpray]    <\??\C:\WINDOWS\system32\drivers\cxbqpray.sys>

病毒名称    处理结果    发现日期    查杀方式    路径    文件    病毒来源
Worm.Magistr.g    清除成功    2008-7-31 12:16    手动查杀    D:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP1    A0005071.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:16    手动查杀    D:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP4    A0009230.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:16    手动查杀    D:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP4    A0010167.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:16    手动查杀    D:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP4    A0010170.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:18    手动查杀    D:\魔域    soul.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:19    手动查杀    D:\KuGoo    QQMusic.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:19    手动查杀    D:\KuGoo    QQMusicUpdate.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:19    手动查杀    D:\新建文件夹\PP2006    PoPt.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:19    手动查杀    D:\新建文件夹\PP2006    PP.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:19    手动查杀    D:\新建文件夹\PP2006\Player    PPlayer.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:20    手动查杀    D:\新建文件夹\cx\浩方对战平台\plugin\mmo    moyu.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:20    手动查杀    D:\新建文件夹\cx\浩方对战平台\plugin\mmo    huaxia.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\新建文件夹    dx9.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\WXP    amcap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\WXP    StillCap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\WXP    VMCap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\WXP    VM_STI.EXE    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\Wz    amcap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:21    手动查杀    D:\Wz    StillCap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:22    手动查杀    D:\Wz    VMCap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 12:22    手动查杀    D:\Wz    VM_STI.EXE    本机
Worm.Magistr.g    清除成功    2008-7-31 22:37    快捷方式查杀    D:\Program Files\9you\劲舞团Season3.1    _AutoPatch.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:38    快捷方式查杀    D:\Program Files\9you\劲舞团Season3.1    窗口化.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:39    快捷方式查杀    E:\新建文件夹\555\fametech\cam    amcap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:39    快捷方式查杀    E:\新建文件夹\555\fametech\cam    StillCap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:39    快捷方式查杀    E:\新建文件夹\555\fametech\cam    VMCap.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:39    快捷方式查杀    E:\新建文件夹\555\fametech\cam    VM_STI.EXE    本机
Worm.Magistr.g    清除成功    2008-7-31 22:53    快捷方式查杀    E:\新建文件夹\新建文件夹5    CKSetting.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:54    快捷方式查杀    E:\新建文件夹\新建文件夹5    RwsSplitTxd.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:54    快捷方式查杀    E:\新建文件夹\新建文件夹5    CrazyKart.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:55    快捷方式查杀    E:\新建文件夹    CrashReport.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:55    快捷方式查杀    E:\新建文件夹    Funshion.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:55    快捷方式查杀    E:\新建文件夹\XPSP2Patch    SysOptimize.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:55    快捷方式查杀    E:\新建文件夹\XPSP2Patch    evid4226-vc80-mt.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 22:55    快捷方式查杀    E:\新建文件夹    soul.exe    本机
Worm.Magistr.g    清除成功    2008-7-31 23:12    快捷方式查杀    E:\新建文件夹 (2)\诛仙\element\reportbugs    zreportbugs.exe    本机
怎么越杀越多啊开始是２１个不到几小时杀又有１７个怎么回事啊

除了2、3楼说的以外
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<msnmsg><C:\Program Files\Messenger\msgmr.dll>  [Microsoft Corporation]
个人认为这项也有问题，伪装签名
建议用Xdelbox删除，可以先根据路径C:\Program Files\Messenger\msgmr.dll上传到http://www.virscan.org/验证一下

还有一个可疑驱动
[NetworkX / NetworkX][Running/System Start]
  <\SystemRoot\system32\ckldrv.sys><N/A>
按照这个路径c:\windows\sysytem3ckldrv.sys也上传扫描一下，有问题就按楼上说的删除

下面的浏览器加载项用sreng删除
系统修复--浏览器加载项
[]
  {0A155D3C-68E2-4215-A47A-E800A446447A} <, >
[]
  {461CC20B-FB6E-4F16-8FE8-C29359DB100E} <, >
[]
  {4eb89ff4-7f78-4a0f-8b8d-2bf02e94e4b2} <, >
[]
  {4EDCB26C-D24C-4e72-AF07-B576699AC0DE} <, >
[]
  {7390f3d8-0439-4c05-91e3-cf5cb290c3d0} <, >
[]
  {7584c670-2274-4efb-b00b-d6aaba6d3850} <, >
[]
  {9059f30f-4eb1-4bd2-9fdc-36f43a218f4a} <, >
[]
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <, >
[]
  {95B3F550-91C4-4627-BCC4-521288C52977} <, >
[]
  {97421D0D-E07F-40DF-8F07-99597B9585AD} <, >
[]
  {D6E814A0-E0C5-11D4-8D29-0050BA6940E3} <, >
[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >

谢谢，我晚上也发现了msgmr.dll这个文件好象不大对，所以用瑞星把它给粉碎了，你后面说的那个.sys的文件我传上去扫描了，只有1家说那里有病毒，我就先没动了，然后把浏览器的加载项按你说的已经删除了，等下重起看看

谢谢天仁

重启以后结果怎样了

昨天晚上重启之后没有再提示有病毒了，但是网络连接中发送和接收的数据量好象还是不大正常，接收的数据比发送的数据大很多！！

先谢谢楼上各位大佬不吝赐教，昨天晚上按照大家说的步骤基本上都进行了操作，操作之后用机器上的瑞星全盘扫描，扫描结果中有一个Trojan.Win32.QHost.arm病毒，扫描操作结果是删除成功，今天白天又各在中午和晚上进行了一次全盘扫描，用360也全盘扫描了一次，均未发现有病毒。但现在的问题就是关机速度比中毒前慢了许多倍，从点击开始菜单中的关闭计算机开始到出现关机选项的对话框都要隔近一分钟的时间，然后选择关闭或者重新启动后，运行的时间也比较长，所以还是担心有什么不对的地方，就又扫描了一份日志上来，还请诸位帮忙看看，是不是还有没弄干净的地方！

附件: SREngLOG0802.log

没人注意到哦，自己顶起来

收的包多，有可能是ARP病毒

其实LZ的关机时间没什么异常，如果你想快速关机的话，微软关机补丁
http://www.batong.net/supesite/html/93/viewthread_tid_143393.html

先谢谢，关键是中毒前后关机时间有明显的差别，所以弄不清楚，这个补丁我装装看~

谢谢天仁，我安装了这个补丁，但是好像没什么效果，关机时间比中毒前长很多，能否再帮我看看日志阿，是不是还有什么问题啊

Kenonic控制加密软件 您安装了？

是TOM的宽屏插件,一般存在C:\Program Files\UitvDll\msrv.exe ，占用系统资源比较大
文件夹内有卸载

1.SRENG-系统修复，高级修复，修复所有已知错误

2..使用超级兔子，清理系统垃圾和注册表垃圾

3.http://bbs.ikaka.com/showtopic-8522258.aspx 使用重新注册所有DLL功能