瑞星卡卡安全论坛

C:\WINDOWS\ortfta.dll>>pecompact2x-a
每次删除了之后 重启又会出来  请高手帮忙解决下谢谢了！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

这是杀完毒后的扫描

C:\WINDOWS\ortfta.dll这个文件删除

删除

==================================
驱动程序
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>

[msspac / msspac][Running/Boot Start]
  <\SystemRoot\system32\drivers\msspac.sys><N/A>

[qwtuqy / qwtuqyh][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\qwtuqyh.sys><N/A>

我对电脑不是很在行  请问下 ==================================
驱动程序
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>

[msspac / msspac][Running/Boot Start]
  <\SystemRoot\system32\drivers\msspac.sys><N/A>

[qwtuqy / qwtuqyh][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\qwtuqyh.sys><N/A>
文件在那里面啊 该怎么杀？？谢谢了

C:\WINDOWS\ortfta.dll 这个文件  已经没有了怎么杀啊

那个人能帮个忙啊

使用XDelBox删除以下文件：(XDelBox，点击后进原创软件下载)
使用说明：删除时复制所有要删除文件的路径，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键---从剪贴板导入不检查路径，导入后在要删除文件上点击右键---立刻重启删除，电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
c:\windows\system32\drivers\msspac.sys
c:\windows\System32\DRIVERS\qwtuqyh.sys
复制上面三行
打开XDELBOX，勾上三个勾，在列表里点击右键---从剪贴板导入不检查路径，
导入后，在要文件列表处点击右键---立刻重启删除

删除重启后，使用SRENG
启动项目-服务-驱动程序
删除以下的
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>

[msspac / msspac][Running/Boot Start]
  <\SystemRoot\system32\drivers\msspac.sys><N/A>

[qwtuqy / qwtuqyh][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\qwtuqyh.sys><N/A>
注意，删除服务和驱动最后一个对话框选择“否”

111111

谁能帮个忙啊  谢谢了

删除时复制所有要删除文件的路径，在待删除文件列表里点击右键---从剪贴板导入不检查路径，导入后在要删除文件上点击右键---立刻重启删除，电脑会重启进入DOS界面进行删除操作。
  这句话看不懂  文件路径 英爱怎么选择啊

希望好心人帮个忙  我不想重装系统啊

我都等一个晚上了  还么有人能帮个忙么

我置顶的工具贴里找删除工具删除去

实际你就操作SRENG工具删除驱动项目就可以了

难道你删除文件没成功，就不再做他建议的其他操作了？？？

居然给我搞好了 我用SREng  直接删除掉了
apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>

[msspac / msspac][Running/Boot Start]
  <\SystemRoot\system32\drivers\msspac.sys><N/A>

[qwtuqy / qwtuqyh][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\qwtuqyh.sys><N/A> 然后开机就没有出校加载错误了  请问这是不是就算好了  没有问题了啊

没问题就可以了

原本就是要你用SRENG工具操作的

楼上  谢了

病毒主体是一个驱动文件msspac.sys，位于C:\WINDOWS\system32\drivers\目录下它会修改注册表，添加自己为名为msspac服务项，随系统开机自启动。
驱动加载后，就释放执行病毒功能的ortfta.dll文件到%WINDOWS%下，把它也
设置为开机自启动。它只要顺利运行起来，就会修改用户IE浏览器的设置，弹出大量广告网页。其中一些网页上被挂有木马。
同时，该毒会连接远程Ftp服务器，下载其它病毒到本地执行，引发更多的安
全问题。
开始运行msconfig启动选项去掉msspac启动服务.
在删除C:\WINDOWS\system32\drivers\msspac.sys这个文件。
在注册表搜索msspac.sys并删除。ok问题解决

如果删不掉..一删就有..可是试YAS
http://bbs.ikaka.com/showtopic-8576776.aspx
用里面的"破坏文件"就可以...重起搞定....如果是驱动病毒..那用YAS就最适合了,..即使隐藏了文件也能找出来

YAS如果不能在2000系统以及以上的所有系统内稳定使用，就太局限了

尤其是必须得在v系统内能稳定工作

Yas目前只支持XP和2K3///////////////..不支持主要是进程部分和注册表.....这个可能最近期末考没什么时间更新了....
但总的来说....YAS的内部功能是很强大的...在检测ROOTKIT方面很方便....
谢谢你的答复...新的工具一定会考虑兼容性