按置顶进行了木马群清除之后，出现无法关机，请教是什么问题 bbs.ikaka.com

dongzhuo - 2008-8-8 11:38:00

rt
日志等下补上

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

aaccbbdd - 2008-8-8 11:42:00

删除
drivers文件夹里的rspp.sys试试

1/2理想 - 2008-8-8 14:10:00

如果楼主还没有解决问题建议上传一份日志我们会尽力帮你解决！~
1请楼主先使用windows清理助手清理一下系统。(未签名的那些不要选择删除)
在这里下载：http://www.arswp.com/download.html
打开清理助手=》更新到最新=》快速扫描=》处理可清理对象和可卸载对象
2然后使用System Repair Engineer扫描日志，将日志作为附件上传上来。
在这里下载：http://www.kztechs.com/sreng/download.html

具体步骤：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击智能扫描 - 扫描，扫描结束后点击保存报告；
4、选择保存路径，文件名保持默认，直接点击保存；
5、将“SREngLOG.log”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

dongzhuo - 2008-8-8 18:08:00

回2楼，没有这个文件哦

日志如下

关机过程死在最后的蓝屏正在关机处

附件: SREngLOG.log

dongzhuo - 2008-8-8 18:10:00

gamecap不是马，是类似有sockscap的socks5软件

aaccbbdd - 2008-8-8 18:15:00

删除文件
C:\TEMP\_tmp.bat
C:\WINDOWS\system32\gamecap.dll
删除驱动
[cayvw / cayvw][Stopped/Manual Start]
<\??\C:\TEMP\_tmp.bat><N/A>
卡卡上网助手修复LSP

自己测下
C:\WINDOWS\system32\drivers\Hev32_c.sys
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
http://virusscan.jotti.org/

豪斯登堡新郎 - 2008-8-8 18:16:00

引用:

==================================
服务

[Transaction Provision Service / Transoct][Stopped/Auto Start]
<C:\WINDOWS\system32\BsHelpa.exe><(File is missing)>
[WinWMService / WinWMService][Stopped/Disabled]
<C:\WINDOWS\system32\RAVWM.EXE><(File is missing)>

==================================
驱动程序
[cayvw / cayvw][Stopped/Manual Start]
<\??\C:\TEMP\_tmp.bat><N/A>

[Hev32 / Hev32][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\Hev32_c.sys><N/A>

==================================
浏览器加载项

[]
{33564D57-0000-0010-8000-00AA00389B71} <, >

[]
{5D6F45B3-9043-443D-A792-115447494D24} <, >

[]
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} <, >

[]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{0A155D3C-68E2-4215-A47A-E800A446447A} <, >

{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <, >

[]
{55302805-482E-470E-8A57-6795A1487F90} <, >

[]
{7E853D72-626A-48EC-A868-BA8D5E23E045} <, >

[]
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} <, >

[]
{92780B25-18CC-41C8-B9BE-3C9C571A8263} <, >

[]
{C95FE080-8F5D-11D2-A20B-00AA003C157B} <, >

[]
{D6E814A0-E0C5-11D4-8D29-0050BA6940E3} <, >
[]
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6} <, >

[]
{E2E2DD38-D088-4134-82B7-F2BA38496583} <, >

[]
{FB5F1910-F110-11D2-BB9E-00C04F795683} <, >

==================================

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

dongzhuo - 2008-8-8 18:20:00

C:\TEMP\_tmp.bat
文件不存在
C:\WINDOWS\system32\gamecap.dll
不是马
C:\WINDOWS\system32\drivers\Hev32_c.sys
文件不存在
<C:\WINDOWS\system32\BsHelpa.exe><(File is missing)>
文件不存在
C:\WINDOWS\system32\RAVWM.EXE
文件不存在

豪斯登堡新郎 - 2008-8-8 18:26:00

修复注册表啊

aaccbbdd - 2008-8-8 18:27:00

删除
本来就不是好东东

dongzhuo - 2008-8-8 18:34:00

回楼山的老大，我每天还要用gamescap的...

修复注册表是用什么软件？
手删你说的那些键值？

dongzhuo - 2008-8-8 18:36:00

还有，用了atf_cleaner之后，firefox的图片和js脚本都不能正常显示和运行了？
firefox选项里面明明都是开着的

aaccbbdd - 2008-8-8 19:30:00

重装火狐试试

1/2理想 - 2008-8-8 19:56:00

C:\WINDOWS\system32\gamecap.dll
楼主可以上传检测一下http://www.virscan.org/

dongzhuo - 2008-8-8 22:17:00

文件名称 : gamecap.dll
文件大小 : 53248 byte
文件类型 : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : 53ba58bd390c9542de996ec2de09b98e
SHA1 : 481c996b30fce3de77adeb3a423a164698ea2aa3
扫描结果 : 全部的杀毒软件报告没有发现病毒!
时间 : 2008/08/08 22:15:29 (CST)

说不是就不是了，这样搞有意义么……

aaccbbdd - 2008-8-8 22:21:00

主要是该DLL大量注入系统进程
并修改LSP
非常可疑

如是楼主装的
就留下吧

dongzhuo - 2008-8-8 22:32:00

socks代理軟件，的確是要掛上winsock的
裝了一下被殺掉的ctfmon.exe，現在可以正常關機了

天云一剑 - 2008-8-8 22:43:00

不要管存在不存在
把文件路径复制了
到XDELBOX，右键-从剪贴板导入不检查路径

瑞星卡卡安全论坛