瑞星卡卡安全论坛

先谢过各位高手了!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
sttray.exe
C:\WINDOWS\system32\dnfexe.exe
C:\WINDOWS\system32\jxsjexe.exe
C:\WINDOWS\system32\CJPtNyJ6HWTgWWJdUe.dll
C:\WINDOWS\fonts\bVmwwaC9wK.fon
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\CtZ8uc499k.fon
C:\WINDOWS\fonts\kBPpf2WUfQ.fon
C:\WINDOWS\system32\uXrgQ8ZEp.dll
C:\WINDOWS\system32\Va7SpUWgCA5f.dll
C:\WINDOWS\system32\08223B03.dll
<C:\WINDOWS\fonts\uXUsF2RrQy.fon>
C:\WINDOWS\fonts\d1PmeEeTVx.fon
C:\WINDOWS\system32\EQdXwe4STmqp.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\fonts\MqppW9KYn.fon
C:\WINDOWS\fonts\A97CRaCB.fon
C:\WINDOWS\system32\76B9BA7A.dll>
C:\WINDOWS\system32\cRsAQd4hw.dll>
C:\WINDOWS\system32\yZBe42ZrDxZA.dll
C:\WINDOWS\fonts\MbsV2QQJe.fon>
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon>
<C:\Documents and Settings\cw-czg\Application Data\Spy009.dll>
C:\WINDOWS\system32\killbt.exe
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\~1625ea7.tmp
C:\WINDOWS\cef279d5.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys
\system32\drivers\veanq.sys

上传病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx


进注册表编辑器，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键值。

谢谢阿福,还不能确定如何杀毒吗?

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\system32\dnfexe.exe
C:\WINDOWS\system32\jxsjexe.exe
C:\WINDOWS\system32\killbt.exe
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\~1625ea7.tmp
C:\WINDOWS\cef279d5.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys
C:\WINDOWS\system32\drivers\veanq.sys
C:\Program Files\Common Files\PushWare\cpush.dll
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\elementwdao.dll
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\dnfdll.dat
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\elementgj.dll
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\elementzx.dll
C:\WINDOWS\system32\CJPtNyJ6HWTgWWJdUe.dll
C:\WINDOWS\fonts\bVmwwaC9wK.fon
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\fonts\CtZ8uc499k.fon
C:\WINDOWS\fonts\kBPpf2WUfQ.fon
C:\WINDOWS\system32\Va7SpUWgCA5f.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\uXUsF2RrQy.fon
C:\WINDOWS\fonts\d1PmeEeTVx.fon
C:\WINDOWS\system32\EQdXwe4STmqp.dll
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\jxsjdll.dat
C:\WINDOWS\fonts\MqppW9KYn.fon
C:\WINDOWS\fonts\A97CRaCB.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\DOCUME~1\cw-czg\LOCALS~1\Temp\elementwlwz.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\system32\yZBe42ZrDxZA.dll
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\system32\mtlrd.dll
C:\WINDOWS\system32\hasn.dll
C:\WINDOWS\system32\uXrgQ8ZEp.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\Documents and Settings\cw-czg\Application Data\Spy009.dll
C:\WINDOWS\System32\SGCQdll.dat

不论删除结果如何立即重启电脑，看情况如何。

这里下载映像劫持清除管理工具，清除检测到的劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

天月来了!

天月,我用SRENG重置host文件时提示没有足够的权限？

重装IE
OK了！

你文件删除难道绝对可靠的删除了？？

你再扫描个最新SRENG日志来看看吧:kaka6: