欲哭无泪，瑞星怎么杀都杀不死我终于把这个木马干掉啦 bbs.ikaka.com

lengtai - 2008-8-6 12:36:00

开机的时候会有个“小心”对话框：说我正试图打开应用程序扩展（.dll）的文件，说这些文件系统要用，两个选择：
取消或是选择打开方式，无论点那个，系统都接着启动，往常没有这种现象，我估计是有病毒了，于是我用瑞星杀毒：提示在C:\WINDOWS\system32\mqsvrc.dll有病毒Backdoor.Win32.Agent.zwa ，于是杀之，可是重新启动之后，还是提示我：小心之类的，再次杀毒提示依旧，于是重新启动进入安全模式，杀毒，提示c:\windows\system32\mqsvrc.dll有病毒 Backdoor.Win32.Agent.zwa ,杀之，可启动后一查，病毒依然存在，我彻底崩溃。

论坛中的帖子：http://bbs.ikaka.com/showtopic-8526540-1.aspx 我也看了，可对我管用吗，况且我也不太明白删除两个usb*.sys文件就可以吗？于是我把相关的文件压缩成一个文件包，上传了上来，有请版主帮忙给看下，我该如何办呢？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WPS; QQDownload 1.7; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; CIBA; MAXTHON 2.0)

附件: mqsvrc1.rar

豪斯登堡新郎 - 2008-8-6 13:17:00

这里下载冰刃：
http://www.onlinedown.net/soft/53325.htm

在文件中根据上面的文件路径找到该文件右键强制删除

lengtai - 2008-8-6 14:28:00

删除粉碎也不好使，一重新启动就马上又出来

为了让大家更好地对付这个木马，因此我在此处将我一个星期以来跟这个病毒斗争的过程告诉大家，让大家尽快清除这个烦人病毒。

经过7天的摸索，我找到一条捷径：下载安装上费尔托斯特安全杀毒软件，我就是用它将这个木马的1个服务器程序和2个执行程序都找到的，然后用费尔托斯特安全中自带的费尔木马强力清除助手将这三个文件彻底杀掉的，在清除时，要把“抑制文件再生”选项选择上，切忌，否则这种木马一启动还会出来。

只有费尔托斯特安全将这三个木马程序一并都给找了出来，其他的杀软有的找出来一个，有的找出来两个，但真正的服务器程序usbconf.sys却没有找出来，这个木马的关键所在就是服务器程序usbconf.sys 这个文件不彻底清除掉，怎么做都没有用的!!!

这三个文件分别是：c:\windows\system32\drivers\usbconf.sys
c:\windows\system32 \ mqsvrc.dll
c:\windows\system32 \ msudb.dll

aaccbbdd - 2008-8-6 14:44:00

扫日志前关闭无用进程，如QQ，迅雷及播放器程序

到大的软件站，如天空，太平洋，下载2.6正式版版的SReng（推荐）

http://www.skycn.com/soft/45002.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)
日志以附件上传，贴到反病毒区或流行病毒区
PS：如主程序SREng**.exe无法运行,导致无法扫描日志

将主程序改名为小狮子.bat

天仁 - 2008-8-6 15:00:00

mqsvrc.dll
经过多引擎扫描，红伞，BitDefender，瑞星，赛门铁克等九款软件报毒

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\docume~1\ly\locals~1\temp\amdpci.sys
c:\windows\system32\cdcd.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项禁用：
[AMDPCI / AMDPCI] <\??\C:\DOCUME~1\ly\LOCALS~1\Temp\AMDPCI.sys>
[Cdsys / Cdsys] <\??\C:\WINDOWS\system32\cdcd.sys>

lengtai - 2008-8-6 15:21:00

重新扫描的日志

附件: SREngLOG.log

aaccbbdd - 2008-8-6 15:31:00

应该正常了

PS：瑞星防火墙不是喊ARP防火墙么？
用360的ARP干嘛？

lengtai - 2008-8-6 15:33:00

我很迷茫，我仔细地查看了一下，并没有你说的那两个文件
c:\docume~1\ly\locals~1\temp\amdpci.sys
c:\windows\system32\cdcd.sys

aaccbbdd - 2008-8-6 15:35:00

你别看
删了再说
选择剪切板导入不检查路径

lengtai - 2008-8-6 16:07:00

怎么删除啊？怎么剪切板导入啊？请高手说的详细点

天仁说的要删掉的那两个文件根本就找不到啊

天仁 - 2008-8-6 18:48:00

在XDelBox中使用剪切板导入要删除文件的路径

福兴韵 - 2008-8-6 18:56:00

该用户帖子内容已被屏蔽

fantasy97 - 2008-8-6 19:24:00

用XDelBox杀了，可以抑制再生

软件学者 - 2008-8-6 23:20:00

劝你先备份下系统文件,因为你要删除的跟系统有关系，别删除后系统打不开.在搜索里面把文件名输进去后搜索下试试!

lengtai - 2008-8-7 9:05:00

在哪呢，怎么用“剪切板”导入啊，软件界面上没有啊。

aaccbbdd - 2008-8-7 9:31:00

空白区域
右键

lengtai - 2008-8-7 9:57:00

软件提示：粘贴板没东东啊!

开心101 - 2008-8-7 10:49:00

断网
用附件看能不能找到那两个东西
找到可以直接点删除

附件: 汉化gmer看隐藏进程.rar

lengtai - 2008-8-7 12:24:00

找不到

开心101 - 2008-8-7 15:41:00

:kaka6:
你能不能把瑞星提示的那个框截个图上来

1/2理想 - 2008-8-7 18:34:00

c:\docume~1\ly\locals~1\temp\amdpci.sys
c:\windows\system32\cdcd.sys

先复制这以上路径在空白处右键选择第三个从剪贴板导入不检查路径勾选抑制再生

选中两个路径右键选择立即重启执行删除

lengtai - 2008-8-8 12:47:00

瑞星公司让我提取这两个文件：
C:\WINDOWS\SYSTEM32\IPACC_V2.DLL
C:\WINDOWS\SYSTEM32\CDCD.SYS
可是我只找到了3个IPACC_V2.DLL文件，8月7日早晨上传的，可现在还没有回信
我安装了KV2008，然后启用bootscan扫描，提示杀掉三个病毒，这时杀毒后进入系统便不再提示“小心”了，可是再次重新启动，并不使用bootscan扫描，则又有“小心”的提示框

lengtai - 2008-8-8 12:49:00

那个所谓的x主动防御软件我也装了，属x主动防御软件这个软件最操蛋，啥提示也没有，金山毒霸也装了，卡巴斯基也装了，江民也装了都不管用，当然安装后，升级到新本查杀，都不好使啊。

aaccbbdd - 2008-8-8 12:49:00

瑞星是标准版不？
是的话
光盘引导杀毒试试

lengtai - 2008-8-8 13:12:00

我等到8月11日，如果还不能解决的话，我只好采用最彻底的一招，重新格式化，重新安装操作系统算啦，这么多人支招，这么多杀毒软件都试了，有点失望啦。看来杀毒软件这么厉害那么厉害原来都是在吹牛! 瑞星，江民我都去上传病毒样本了，最可气的是，江民连个邮件都懒的给我回。

麻婆 - 2008-8-8 15:20:00

:kaka11:

瑞星卡卡安全论坛