瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » Backdoor.Win32.Agent.zwa的新问题
wkill08 - 2008-9-9 12:18:00
大家好。
病毒名:Backdoor.Win32.Agent.zwa  
路径没找到
每次瑞星杀毒可以杀掉,重启后又有~~~
并且重启后会在开机时出现 “无法加载C:/WINDOWS/sysrem32/drivers/usbfs.dll”
不点击确定就无法加载内容,点击确定后好像机子没什么问题还是可以使用对照在"Backdoor.Win32.Agent.zwa 清除不了啊~~怎么办哦?"这个帖子中 ,看到给出的解决方案,我也照此扫描了我的日志,可是并没有“驱动程序[usbconf / usbconf][Running/System Start]  <\??\C:\WINDOWS\system32\drivers\usbconf.sys><N/A>
[usbfs / usbfs][Stopped/System Start]  <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A>”。
只看到了“[usbfs / usbfs][Running/System Start]  <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A>”。请问各位高手,该如何解决呢? 不甚感激!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; .NET CLR 2.0.50727)
烟柳 - 2008-9-9 12:22:00
开始菜单-运行-输入msconfig回车
在里边的启动栏里把**.dll前面的勾去掉就行了
1、开始——运行——msconfig——启动——把加载项usbfs.dll的那个勾勾去掉。 重启电脑,通常到这就可以了,如果还弹出来再进行第二步
2、开始——运行——regedit 在下面的位置删除相应键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
那应该是一个已被删除了的病毒或木马。也有可能是你卸载某个软件不正确留下的残留.


dll因为某些原因(最大的可能是因为它是个病毒或流氓软件的dll文件,被杀软删除了)丢失了,但其相关的注册信息却还在,导致系统开机时还加载它,却又找不到它的文件,所以报错。
如果你点击“确定”后,系统没有什么不正常,并且可以正常运行的话,你可以用这个软件清理掉这个开机加载项,以后开机就不会出现这个信息了
wkill08 - 2008-9-9 12:31:00
谢谢回答!
可是“1、开始——运行——msconfig——启动——把加载项usbfs.dll的那个勾勾去掉“,根本就看不到加载项usbfs.dll。”“2、开始——运行——regedit 在下面的位置删除相应键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ”也没有啊
fillix - 2008-9-9 12:39:00
最好还是把你的日志发上来让大家看看
wkill08 - 2008-9-9 12:48:00
怎么发啊?

附件: SREngLOG.log
wkill08 - 2008-9-9 12:56:00
在用System Repair Engineer (SREng)时,还看到“函数和预期值不符。这是因为在这台计算机上被植入了灰鸽子后门程序。”的提示。说注册表里的AppInit_DLLs值已反常。(默认值)为空的。提示查毒!
fillix - 2008-9-9 13:10:00
1.用XDelBox删除以下文件:(XDelBox1.7版下载)
使用说明:先勾选抑制再生,删除时复制下面的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)

C:\DOCUME~1\Owner\LOCALS~1\Temp\zxso.exe
C:\53c64474c331332c.dat
C:\WINDOWS\TEMP\tmp6E.tmp
C:\WINDOWS\TEMP\tmp72.tmp
C:\WINDOWS\system32\drivers\usbfs.sys
C:\WINDOWS\system32\cdcd.sys

2.删除重启后使用SREng修复下面各项:

启动项目-- 注册表  删除:

<zxsa><C:\DOCUME~1\Owner\LOCALS~1\Temp\zxso.exe>  [File is missing]

启动项目--服务--驱动程序  删除:

[53c64474c331332c / 53c64474c331332c][Stopped/Manual Start]
  <\??\C:\53c64474c331332c.dat><N/A>

[Cdsys / Cdsys][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\cdcd.sys><N/A>

[fmsq / fmsq][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmp6E.tmp><N/A>

[ptfs / ptfs][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmp72.tmp><N/A>

[usbfs / usbfs][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A>


另外那个AppInit_DLLs的值是卡卡修改的,不用担心

函数和预期值不符,是瑞星修改的

“这是因为在这台计算机上被植入了灰鸽子后门程序” 这是sreng的提示?还是你自己写的啊?
wkill08 - 2008-9-9 13:19:00
"这是因为在这台计算机上被植入了灰鸽子后门程序” 这是sreng的提示?"这是我在网上看到别人说的:default57:
fillix - 2008-9-9 13:22:00
:default6: 那个是瑞星修改的 没问题 把那些删了看看还有没有问题
wkill08 - 2008-9-9 13:49:00
太复杂了呵
fillix - 2008-9-9 14:17:00
哪步不明白呀 其实不复杂的呀
wkill08 - 2008-9-20 21:13:00
"1.用XDelBox删除以下文件:(XDelBox1.7版下载)
使用说明:先勾选抑制再生,删除时复制下面的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)

C:\DOCUME~1\Owner\LOCALS~1\Temp\zxso.exe
C:\53c64474c331332c.dat
C:\WINDOWS\TEMP\tmp6E.tmp
C:\WINDOWS\TEMP\tmp72.tmp
C:\WINDOWS\system32\drivers\usbfs.sys
C:\WINDOWS\system32\cdcd.sys"
执行以上步骤后,电脑重启进入DOS界面进行删除,可是电脑显示 Starting Windows98
A:\> echo off  等了一刻钟,还是这样显示,没有其他反应。
于是关机再开,进入Windows XP。
1. 开机后电脑自动打卡zxso.exe文件夹(空的)。
2. RUNDLL还是显示找不到指定模块。
请问该怎么办?
aaccbbdd - 2008-9-20 21:16:00
http://bbs.ikaka.com/showtopic-8442813.aspx
3楼的工具删除文件
wkill08 - 2008-9-20 21:26:00
请问我出现的情况是哪种问题呢?
aaccbbdd - 2008-9-20 21:28:00
不知道
上传新日志看看
wkill08 - 2008-9-20 21:30:00
请稍等
wkill08 - 2008-9-20 21:36:00
请看

附件: SREngLOG.log
aaccbbdd - 2008-9-20 21:42:00
SRENG-启动项目 -- 注册表之如下项删除(可以不删除):
 
  <SysExplr><D:\程序\SYSEXPLR.EXE>  [File is missing]
    <MyIMLite_UpDate><>  [N/A]
    <MyIMLite><>  [N/A]
    <WingKav><D:\程序\WingKav2006.exe>  [File is missing]
    <zxsa><C:\DOCUME~1\Owner\LOCALS~1\Temp\zxso.exe>  [File is missing]


SRENG- 启动项目 -- 服务-- 驱动程序之如下项删除:
(选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[53c64474c331332c / 53c64474c331332c][Stopped/Manual Start]
  <\??\C:\53c64474c331332c.dat><N/A>
[fmsq / fmsq][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmp6E.tmp><N/A>
[ptfs / ptfs][Stopped/Auto Start]
  <\??\C:\WINDOWS\TEMP\tmp72.tmp><N/A>
wkill08 - 2008-9-20 21:45:00
为什么之前没能自动重启呢?
我再试试啊
wkill08 - 2008-9-20 21:55:00
[usbfs / usbfs][stopped/System Start]
  <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A>
要删除吗?
aaccbbdd - 2008-9-20 21:56:00
算了
应该不是病毒
wkill08 - 2008-9-20 21:58:00
删除好了,就退出吧?
然后还要重启吗?
aaccbbdd - 2008-9-20 22:01:00
不知道
你看看计算机好了没?
wkill08 - 2008-9-20 22:03:00
怎么看呢,重启?
aaccbbdd - 2008-9-20 22:06:00
usbfs.sys
上传文件看看吧

计算机还有无异常?
C:/WINDOWS/sysrem32/drivers/usbfs.dll无法加载的话

usbfs.sys这个驱动也禁用就该好了
wkill08 - 2008-9-20 22:08:00
好的,我再重启一次试试看
wkill08 - 2008-9-20 22:22:00
重启还是提示找不到指定模块。把usbfs.sys这个驱动也禁用了,再重启还是这样提示。
同时Internet Explorer说遇到问题要关闭。点击确定就好了。
wkill08 - 2008-9-20 22:27:00
重启时还要手动选择是进入系统或者进入DOS下的删除工具XDELBOX。
是不是要卸载XDELBOX才行啊?
aaccbbdd - 2008-9-20 22:31:00
不是
修改boot.ini

删除XDELBOX加的那行

新日志看看
或进入注册表编辑器
查找下那DLL
将结果删除
wkill08 - 2008-9-20 22:36:00
”查找下那DLL
将结果删除”
请问删除哪个DLL? 对不起,我是菜鸟,比较麻烦
12
查看完整版本: Backdoor.Win32.Agent.zwa的新问题
© 2000 - 2026 Rising Corp. Ltd.