瑞星卡卡安全论坛

RT

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQDownload 551; TencentTraveler 4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; InfoPath.2)

附件: SREngLOG.log

c:\windows\system32\appmgmts.dll
e:\工具\维护工具\天琊0228\ch000001.sys
两个可疑文件 上报

e:\工具\维护工具\天琊0228\ch000001.sys 这个没问题吧:kaka5:

找不到

c:\windows\system32\appmgmts.dll

显示隐藏文件 呢

启动项目
注册表
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\windows\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
==================================
驱动程序
[Ch000001 / Ch000001][Stopped/Manual Start]
  <\??\E:\工具\维护工具\天琊0228\Ch000001.sys><N/A>    病毒删除
[EagleNT / EagleNT][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\EagleNT.sys><N/A>
[KSKNIGHT / KSKNIGHT][Stopped/Manual Start]
  <\??\D:\KnightV\KSKNIGHT.SYS><N/A>
==================================
浏览器加载项
[QQ工具栏]
{29CF293A-1E7D-4069-9E11-E39698D0AF95} <C:\Program Files\Tencent\QQToolbar\IEBar.dll, (Signed) TENCENT>
标病毒的结束进程，然后删除，http://bbs.ikaka.com/showtopic-8442813.aspx到3楼下载删除文件工具XDELBOX删除病毒，其余的请上报到病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除
c:\windows\system32\appmgmts.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[HotKeysCmds]    <C:\WINDOWS\system32\hkcmd.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Application Management / AppMgmt]    <C:\windows\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll>

附件: XDelBox1[1].8剑盟版.rar