瑞星卡卡安全论坛

电脑小白的我今天打开电脑发现有病毒，用瑞星一查杀，发现Trojan.psw.win32.Gameol.vkd 这个病毒，怎么也杀不了。老自动复制。
请高手指教下，谢谢！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; .NET CLR 2.0.50727)

设置为开机查杀，选全部硬盘
保存后重启
到了类似磁盘出错的那个界面会弹出瑞星的开机查杀，然后按任意键查杀

杀了重起还是有。而且那个病毒感染的文件还删不掉

文件路径

文件路径 
C:\windows\system32\eflgfjke.dll
C:\windows\system32\pleelclb.dll
现在 开机一段时间,瑞星的防御功能全部自动关闭.什么回事啊???

用SRENG工具扫描系统日志发这论坛来

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

用我附件的工具删除
（里面有说明）

附件: XDelBox.rar

附件: SREngLOG.log

昨天有事出去了，今天早上赶早弄好，帮忙看下，谢谢了！！！

犇1牛。。。谢谢
用这玩意清理（重启前最好把所有样本导出来:default6: ）
http://cu003.www.duba.net/duba/tools/dubatools/install.exe

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\srsvc.dll
C:\WINDOWS\system32\msexe.exe
C:\WINDOWS\system32\zxexe.exe
C:\WINDOWS\system32\vioFly32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\561703
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~112cc0.tmp
C:\WINDOWS\system32\ooheggnd.dll
C:\WINDOWS\system32\lfcbkfhg.dll
C:\WINDOWS\system32\ngmbdnib.dll
C:\WINDOWS\system32\ljbmjdme.dll
C:\WINDOWS\system32\koiedggc.dll
C:\WINDOWS\system32\pleelclb.dll
C:\WINDOWS\system32\eflgfjke.dll
C:\WINDOWS\system32\ainhofgf.dll
C:\WINDOWS\system32\mlgbhbbh.dll
C:\WINDOWS\system32\vioFly32.dll
C:\WINDOWS\system32\ooheggnd.dll
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\fonts\3EFEAF36.fon
C:\WINDOWS\system32\A1A6BC2E.dll
C:\WINDOWS\system32\695C5A80.dll
C:\WINDOWS\system32\FA9B58AA.dll
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\SKj9pRhxKPy.dll
C:\WINDOWS\fonts\NtkRM2essN.fon
C:\WINDOWS\Fonts\63C8062F.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zxdll.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msdll.dat
C:\WINDOWS\fonts\fZhqM7YJCa.fon
C:\WINDOWS\system32\rBWN2dra.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\C60BC4DF.dll
C:\WINDOWS\system32\1957817A.dll
C:\WINDOWS\Fonts\D7019B3B.fon
C:\WINDOWS\system32\padcohlh.dll
C:\WINDOWS\system32\jggdjeoi.dll
C:\WINDOWS\system32\cokekool.dll
C:\WINDOWS\system32\nappbiaf.dll
C:\WINDOWS\system32\kekppfkg.dll
C:\WINDOWS\system32\pnoljnle.dll
C:\WINDOWS\system32\lkgbilio.dll
C:\WINDOWS\system32\mofkkbeo.dll
C:\WINDOWS\system32\pfiehgol.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\85723
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\157738
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~1e1b5.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\415476
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\561703

不论提取结果如何，压缩发来看看

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动“木马群清理.exe”程序后，点击“开始处理”，程序将自动清除这堆木马群病毒。耐心等待程序扫描结束。

附件: 木马群清理.rar (2009-3-15 8:22:01, 185.04 K)
该附件被下载次数 171

重启电脑后，用附件里的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。

用附件里的“垃圾文件清理工具”清理系统。（有操作说明）

下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

你这系统的重要文件C:\WINDOWS\system32\userinit.exe我那清理程序已可以替换回正常的。

但是C:\WINDOWS\system32\srsvc.dll文件我不知道怎么做，因为我找不到相同系统的这文件。

用金山系统急救箱清除掉

一直好奇金山系统急救箱到底能不能将
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\srsvc.dll
这类系统重要文件，在清除病毒的同时替换回正常的呢？？？

好象不行吧？？

没实际试过。

:default2:  这病毒 貌似才出来的  LZ太幸运了

这就去验证
前提是你给我染过毒的userinit.exe:default6:

帮我看看 ！！！

附件: 备份文件夹.rar

去做完12楼的吧

你操作没成功

附件里一个文件也没有

汗

该用户帖子内容已被屏蔽

我这边有机器和你的情况一样，不过我是高手已经清除了病毒全部，用到的工具是QQ病毒木马专杀工具+maoxiankiller.exe+360compkill+金山系统急救箱 最后用瑞星杀毒软件杀一次C盘 再用SRENG2.RAR检查下启动项正常不 注意用工具maoxiankiller.exe杀USP10.DLL时候要多杀几次。现在我把病毒是清除了 但是机器用起来没原来快了正在找这个原因

谢谢各位达人，特别是天月！！！:default6: :default6: :default6:
在弱弱的问一下，天月你怎么知道那么多啊？

睡觉前最后回一帖，身为反病毒区版主的天月，吃的就是这行饭，当然会那么多咯，既然您的问题已经解决，请点击1楼的编辑将此贴设置为已解决或已关闭以减轻工作人员的负担

附注，如果想知道其他病毒无关的闲事儿就去RISING茶馆转转吧，只要那里发帖不违规就不会被禁言或删帖。这是我的友情提示哦:default5: