瑞星卡卡安全论坛

最近鼠标会突然到处跑,而且鼠标停放的位置有文字,感觉就是桌面上开着一个看不见透明的网页...高手请指教

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; TheWorld)

附件: SREngLOG.log

建议把下面三个文件分别压缩发上来：
C:\WINDOWS\system32\cd5n.exe
C:\WINDOWS\system32\t.exe
C:\WINDOWS\system32\02k4.dll

C:\WINDOWS\system32\cd5n.exe

附件: cd5n.rar

C:\WINDOWS\system32\t.exe

附件: t.rar

C:\WINDOWS\system32\02k4.dll

附件: 02k4.rar

已上报“可疑文件交流区”鉴定……

个人认为以下文件和注册表项是有问题的，值得注意的是有五个文件（映像文件）疑似盗用微软的签名的病毒文件，值得重视（红色）。其他的，蓝色驱动程序鄙人不能确认，因为一些网游也会生成类似驱动程序，请自己鉴定一下：
================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <8b4b><rundll32 "C:\WINDOWS\Downlo~1\8b4b.dll",Run>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{C54C2AFB-7B2A-6B3E-BA41-C20F02543019}><C:\DOCUME~1\ADMINI~1.F0A\LOCALS~1\Temp\gjgigj2610111.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-EBAK-11cf-8B85-00BB005B4383}]
    <N/A><%SystemRoot%\system32\button.exe>

服务
[ElldBin / ElldBin][Running/Auto Start]
  <C:\WINDOWS\system32\cd5n.exe><Microsoft Corporation>
[OSEvent / OSEvent][Stopped/Auto Start]
  <C:\WINDOWS\system32\t.exe><Microsoft Corporation>

驱动程序
[XDva219 / XDva219][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva219.sys><N/A>

浏览器加载项
[Invoke Class]
  {59F262DA-B7E7-4185-BEB5-15EEAC1FD89B} <C:\WINDOWS\system32\02k4.dll, Microsoft Corporation>
[Invoke Class]
  {59F262DA-B7E7-4185-BEB5-15EEAC1FD89B} <C:\WINDOWS\system32\02k4.dll, Microsoft Corporation>

正在运行的进程（仅指插入进程的红色模块文件）
[PID: 1548 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [C:\WINDOWS\Downlo~1\8b4b.dll]  [Microsoft Corporation, 5, 3, 2600, 2180]

计划任务
[已启用] 8b4ac.job
        rundll32
[已启用] 8b4b.job
        rundll32
==================================