瑞星卡卡安全论坛

“Trojan.DL.Win32.Zlob.crl ” 这个病毒在我的电脑里一直存在,杀过多次,每次重启后,瑞星又报“删除染毒文件成功”.请教如何才能将其彻底杀灭?

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)

请用下面的软件发个系统日志上来.删之前要确认下你系统是否有其他病毒,免得删不彻底..

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

用SRENG工具扫描的系统日志,请见上传附件:

附件: SREngLOG.log

这贴7楼看，杀毒历史记录导出后压缩发来看看,需要知道详细病毒文件名和路径。
http://bbs.ikaka.com/showtopic-8517119.aspx

杀毒历史记录已被我删除,等再中毒后上传来.

日志没看出大的问题...病毒看来是被控制住了..直接删除病毒文件就可以了..强制删除的软件一般用xdelbox..推荐楼主按4楼大大说的..把最近几次的记录传上来..可以帮你列出杀毒的具体路径..

xdelbox下载

历史记录

附件: 历史记录.txt

给我5到10分钟..

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


C:\WINDOWS\SYSTEM32\BECO748.DLL
c:\windows\system32\DRIVERS\ctwfe.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
{57B86673-276A-48B2-BAE7-C6DBB3020EB8}

启动项目 －－ 服务--驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）
ctwf / ctwfe
(卡巴的残留,推荐删去)
Kaspersky Lab Boot Guard Driver
Kaspersky Anti-Virus NDIS Filter


如果操作后病毒还没彻底删除请回来说一下..

非常感谢版主天月来了和aryda 的热情指导.

我已按你们的方法和步骤操作了,但愿能把此病毒彻底消灭.现在要看瑞星还报不报“删除染毒文件成功”.如果不报了则成功了!希望如此.先谢了!

电脑每次起动,瑞星仍旧报告“删除染毒文件成功”.可见，“Trojan.DL.Win32.Zlob.crl ”没有被杀灭,仍在感染文件.请告知下一步的行动措施。

为什么全套正版瑞星杀毒软件,每天三次正规更新,仍旧彻底杀灭不了此病毒. 为什么为了杀灭此病毒还要借助其它程序工具,难道瑞星就如此无能?

坚决和病毒斗争到底,还我一个安静、干静、平静的环境. 同时希望瑞星杀毒软件能更加强大,病毒能在瑞星范围内被彻底杀灭! 谢谢各位高手支持!


上传附件:  历史记录2

附件: 历史记录2.txt

C:\WINDOWS\SYSTEM32\BECO748.DLL这个文件，你可能需要用瑞星主动防御监控一下那位置，看什么东西要创建那文件

实在不行试试这个吧：
下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

如何用瑞星主动防御监控 C:\WINDOWS\SYSTEM32\BECO748.DLL 这个文件的位置，请告防御监控方法。

用大蜘蛛反病毒扫描程序全盘扫描，没有发现病毒。怎办?

监控的设置，可以去杀毒软件区询问或查看相关贴

用大蜘蛛反病毒扫描程序全盘扫描，没有发现病毒。

但是电脑每次起动,瑞星仍旧报告“删除染毒文件成功”.可见，“Trojan.DL.Win32.Zlob.crl ”没有被杀灭,仍在感染文件.还有好办法吗?

我说了监控呀

因为我并不知道什么东西在那不断创建那病毒文件

所以没法判断

要不你去安全模式下扫描个SRENG日志看看

前面没杀掉的话,病毒就比较麻烦了..可能的情况是病毒用一个正常文件做掩护,每次关机时再释放出病毒主体...这种情况瑞星没拿到样本是查不出那个打掩护的文件...解决方法只能按版主说的去找了..瑞星的设置比较麻烦..不过很明了..楼主要是愿意也可以到下面下微软的一个监视软件..不需要设置..不过是英文版的..结果很多需要点耐心..有结果的话最好能回来说一说...虽然几率不高..不过如果是系统文件误删了就不好了..

Process Monitor v2.03官方下载
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

在option中选中enable boot logging.
把C:\WINDOWS\SYSTEM32\BECO748.DLL  删后点1的图标..再点2的图标..查找BECO748.DLL..没结果重启后再查找1遍应该就有结果了..创建这个文件的文件就是病毒的真身了..有结果的话最好能回来说一说...虽然几率不高..不过如果是系统文件误删了就不好了..

我按版主的指点用瑞星主动防御监控了C:\WINDOWS\SYSTEM32\BECO748.DLL这个文件.

以下是监控日志

附件: 防御日志.txt

我下载了Process Monitor v2.02汉化版,请具体告知操作步骤.谢谢!

Process Monitor 查找 BECO748.DLL 结果:

时间和日期:    2009-2-25 10:53:49
事件类:    注册表
操作:    注册表-查询值
结果:    成功
路径:    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
TID:    848
持续时间:    0.0000084
Type:    REG_SZ
长度:    274
数据:    kmon.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32

\Beco748.dll


时间和日期:    2009-2-25 10:53:46
事件类:    注册表
操作:    注册表-查询值
结果:    成功
路径:    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
TID:    848
持续时间:    0.0000078
Type:    REG_SZ
长度:    274
数据:    kmon.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32

\Beco748.dll

时间和日期:    2009-2-25 10:53:43
事件类:    注册表
操作:    注册表-查询值
结果:    成功
路径:    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
TID:    848
持续时间:    0.0000084
Type:    REG_SZ
长度:    274
数据:    kmon.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32

\Beco748.dll

时间和日期:    2009-2-25 10:53:40
事件类:    注册表
操作:    注册表-查询值
结果:    成功
路径:    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
TID:    848
持续时间:    0.0000112
Type:    REG_SZ
长度:    274
数据:    kmon.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32\Beco748.dll C:\WINDOWS\system32

\Beco748.dll

请问如何处理?

1.下载最新的SRENG2

2，下载最新的ARSWP

3重启机器进入安全模式

4.先用sreng2扫描，并清除所有可疑项
再运行arswp进行驱动器的清理。

cmd regedit进入注册表，F5，查找所有的Beco748.dll
键值并删除，再重复执行一次。

6,重启，再次进入安全模式，重复以上操作。

楼上的为了要分分着发帖,好阴险啊。...
建议楼主重装瑞星或安装金山测试版的..用金山清理专家也可以考虑..
试试冰刃也可以的...

全部按你的步骤做了,但病毒依旧存在.:default3: :default3:

你需要象下面这样设置监控

看提示什么程序要创建那文件

设置好以后，就去删除那文件

然后重启电脑看提示什么

还不行，我无奈了

不好意思..有点事耽搁..回复楼主晚了..见谅个..

前面没仔细说明到...之所以推荐官网下载的process monitor,是因为我在3个大的下载网站华军,天空,菲凡中有2个停止汉化版的下载了,有一个下载的文件被瑞星报毒.所以才特意到微软找的源下载地址. 楼主最好能查一下你下载的版本,我有点不放心,希望所下载的文件是安全的..

前面也没注意到楼主询问了瑞星监控设置,出于方便考虑才推荐的process monitor. 不过从结果看好像反而给楼主带来了不方便...在你上传的记录中,第一个瑞星的监控日志说的是瑞星加载了一个驱动...我估计楼主应该是监控设置错误了...第二个是病毒访问注册表的记录.因为已经确认这个是病毒文件,所以我们对这个结果不大感兴趣...我们感兴趣的是什么创建的这个病毒文件.不幸的是监控时这个文件已经被建立了.所以楼主的日志似乎比病毒晚了点...

关于这个病毒...网上查了一下..似乎是挺难杀干净...包括卡巴斯基,对它的命名为Trojan-Downloader.Win32.Zlob.crl,  也一样杀不干净的...所以楼主要是不想等瑞星过段时间升级后再查杀.现在也只有手动杀了...带来的不方便希望楼主可以谅解...楼主愿意的话下面我详细说一下瑞星监控的详细设置...设置的目的是禁止这个文件的自动建立,以及监控是哪个文件创建的这个病毒..process monitor因为过于专业,就不说了.不想因为太技术性给楼主带来困扰..

1请启动瑞星杀毒软件的主程序,选设置->详细设置->然后选应用程序设置.结果如下图(图1):



2然后点击"添加",选中星号-> 单击“下一步”。如下图(图2):



3点击文件访问下的"启用0条规则".如下图(图3):



4在弹出框中,勾选中"启用",再点击"编辑".结果如下图(图4):



5在弹出框中,监控目标,在选择里找到C:\WINDOWS\SYSTEM32\BECO748.DLL .然后在监控操作中取消创建,勾选访问.点确定.结果如下图(图5):



6点添加规则..如下图(图6):



7在弹出框中,监控目标,在选择里找到C:\WINDOWS\SYSTEM32\BECO748.DLL .然后在监控操作中勾选创建，取消另外3个选项。在触发动作中选拒绝。点确定。结果如下图（图7）:



8最后点确定.结果如下图(图8):



很抱歉..这步设置过头了..可能会影响系统的使用,,请取消..
9在系统动作中.操作全部选拒绝.启动程序都勾选启用,操作选拒绝.见下图(图9):



10全部设置好后把那个文件删掉,可以慢慢等结果了,瑞星也应该不会再报毒了.最后日志的结果最好能再回论坛说.一下.以上,不明白的可以再跟帖说明..:default7: