瑞星卡卡安全论坛

前两天用瑞星杀毒时冒出Trojan,Win32.Nodef.DL这个病毒，当时见杀死了，没注意。
今天继续杀毒发现还是有这病毒，求高手给看看，有没有专杀工具？电脑里文件太多，不能重装。多谢。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

谢谢大大，我先去试下。

:default9: 见到高手了

扫描完后出现以下报告。

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描
    计划任务
    API HOOK
    隐藏进程

日志放入附件

:default3: 不好意思，刚才没看到附件栏

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\expl0rer.exe,

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[Userinit]修改：把<C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\EXPL0RER.EXE,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

清理助手下载
安装后，升级清理助手，全盘扫描
清理系统

woyezhongle

参考2楼方法上传sreng日志。

附件: SREngLOG.log

救助

附件: SREngLOG.log

请新开主题帖求助，你和楼主中毒情况不同，方法不能通用。

日志异常项如下（红色不确定）：
=================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <bf3b><rundll32 "C:\WINDOWS\Downlo~1\bf3b.dll",Run>  [Microsoft Corporation]
==================================
服务
[Display Mode Automation Regulate / DMAR][Stopped/Auto Start]
  <C:\Program Files\Common Files\stiles\watose.exe><N/A>
[PomedEr / PomedEr][Running/Auto Start]
  <C:\WINDOWS\system32\db1d.exe><Microsoft Corporation>
[OSEvent / OSEvent][Running/Auto Start]
  <C:\WINDOWS\system32\t.exe><Microsoft Corporation>
==================================
驱动程序
[222421 / 222421][Stopped/Manual Start]
  <2 - 系统找不到指定的文件。><N/A>
[2249156 / 2249156][Stopped/]
  <2 - 系统找不到指定的文件。><N/A>
==================================
浏览器加载项
[ui Class]
  {16DCA182-CFB2-4A4D-9E6A-6292559688CE} <C:\WINDOWS\system32\SPORD0R.dll, N/A>
[BlkHelper Class]
  {7648AC4A-76F6-4D95-B2C4-F07004015DD5} <C:\WINDOWS\system32\swrhost.dll, N/A>
==================================
正在运行的进程
[PID: 2172 / yahoo][C:\Program Files\Common Files\stiles\ctafmon.exe]  [N/A, ]
    [C:\Program Files\Common Files\stiles\wutels\bsetas.dll]  [N/A, ]
    [C:\Program Files\Common Files\stiles\wutels\sosen.dll]  [N/A, ]
==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 2172, C:\PROGRAM FILES\COMMON FILES\STILES\CTAFMON.EXE]
==================================
计划任务
[已启用] bf3b.job
        rundll32
[已启用] bf3ac.job
        rundll32
==================================

用SRENG删掉以下项并用DELBOX删除文件：
浏览器加载项
[ui Class]
  {16DCA182-CFB2-4A4D-9E6A-6292559688CE} <C:\WINDOWS\system32\SPORD0R.dll, N/A>
[BlkHelper Class]
  {7648AC4A-76F6-4D95-B2C4-F07004015DD5} <C:\WINDOWS\system32\swrhost.dll, N/A>
XDelBox下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

我说LS你干嘛跟着别人的帖子贴日志？自己开帖多好呐。

你好，我的也中了这个毒，杀不死。我参照楼上方法传日志，请帮忙看看

对不起，刚刚没传成功，这次可以了。

附件: SREngLOG.log

帮我看一看。。。我的电脑好象老是有点问题，烦都烦死我了。。。

附件: SREngLOG.log (2009-3-25 22:40:32, 90.57 K)
该附件被下载次数 113