瑞星卡卡安全论坛

分析来自：
http://bbs.ikaka.com/showtopic-8620921.aspx

先结束进程树
这个应该会
在任务管理器



看好你们的SRENG日志
除了这些
用XdelBox删除：
C:\sysinit.dat
C:\WINDOWS\SYSTEM32\aboy.dll
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
有QQ的显示隐藏文件在QQ目录下删除winsock32.dll
那个绿框的只复制路径







替换系统文件
c:\windows\explorer.exe
c:\windows\sysytem32\comres.dll
实在不会的用这玩意。。。。。
不过副作用强

http://cu003.www.duba.net/duba/tools/dubatools/install.exe
（这个亦可替代删除操作不过可能不完全:default3: ）


重启后
升级你的杀  1软
全盘Scan!!!!!!


最近那个qvod.exe的好像不从启动项
直接用comres.dll启动

那就这么办：
那个explorer.exe是加载最多的了
所以用这个进1程
（亦可这么办：结束comres.dll或资源管理器改名，用正常的文件覆盖后直接重启，但只能适用于不在启动项启动的求助者）



这些为comres和 explorer不同系统版本的正常文件
都在压缩包里

放到c:\Windows\System32中
c:\Windows\System32\Dllcache中

文件名:VISTA_ RTM.rar
下载次数:0
文件类型:application/octet-stream
文件大小: 1.07 M
上传时间:2009-5-7 23:36:57
描述:rar



附件:文件名:XPSP2.rar
下载次数:0
文件类型:application/octet-stream
文件大小: 492.46 K
上传时间:2009-5-7 23:36:57
描述:rar




附件:文件名:XPSP3.rar
下载次数:0
文件类型:application/octet-stream
文件大小: 492.46 K
上传时间:2009-5-7 23:36:57
描述:rar



用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WPS; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)

附件: XDelBox.rar

附件: VISTA_ RTM.rar

附件: XPSP2.rar

附件: XPSP3.rar

挑刺：

1、附件2、附件3到底是病毒样本还是正常系统文件？你不说谁敢下啊……:default21:

2、如果附件2、3是系统正常文件，请注意标明文件版本及适用系统……:default24:

【重要提示】

“快播”虽好，下载安装要注意：

1、不要盲目轻信什么“去广告版”、“完美版”、“官方正式版”的说法，老老实实到官网下载软件安装包安装。附官网下载地址：http://www.qvod.com/

2、推荐用IE自带的下载工具下载安装，建议不要图快用迅雷等下载工具代劳。

:kaka6: :kaka6: 另外，感觉aboy木马群的话，楼主只是提供常规办法，不一定能真正解决问题的，如果不能解决的话，可以扫描SRENG日志上论坛进行求助