瑞星卡卡安全论坛

我看了看，，这个问题好像是由什么，，
GR[1].EXE引起的，，
每次运行的时候，会在360里的SAFEMON里面加一个USP10.DLL的文件
并且附带APPINIT写入×××××DLL，，
破坏杀毒软件，
同时还会下载其他的木马，，会在TEMP里面写入928273，等一系列的类似的数字文件
在任务处理器中也有不明的数字进程运行，，

留个Q好吗？详细跟你交流，，
系统重装了几次都没有用

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; TencentTraveler 4.0)

附件: SREngLOG.log

附件: 360.log

附件: 360safe.log

是WOWAR下载器和QQPASS
威胁/风险
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <DUBA_TOOLS><D:\Downloads\dbtools_cdj.com /C>  []
<{CFA78280-F455-4C7D-9682-26A77FC75B31}><C:\WINDOWS\system32\cfanoiog.dll>  []
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat]  [N/A, ]
你想怎么清理？
手动？http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
里面有说明
自动？
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

呵呵，怕不只，该病毒遍历磁盘分区，查找有exe文件的文件夹,释放usp10.dll，利用dll劫持运行自身

要是没被防御的话，应该有exe文件的文件夹都会有这个dll

最佳的方法是到pe下，搜索USP10.DLL全部删除，再拷个正常发的系统文件替换

C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache下的usp10.dll






这些已经是下载来的 盗号木马，等把这个下载者处理掉后再杀吧