瑞星卡卡安全论坛

前几天中过木马。开瑞*删掉后这几天就莫名其妙出现登登登的声音。我觉得是木马杀不干净。请高手门开下这日志有没问题

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 551; TencentTraveler 4.0)

附件: SREngLOG.txt

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe> [Microsoft Corporation]

数字签名没有验证通过
C:\WINDOWS\EXPLORER.EXE
添加到压缩文件发上来

这项可疑c:\windows\system32\drivers\aslm75.sys
建议先备份然后用XDelBox删除

怎样可以找到2楼的那个文件。。。。。3楼：直接复制就再删除这样备份可以吗?

C:\WINDOWS\EXPLORER.EXE 如果找到就直接压缩然后上传到这里，也可能隐藏了，先在控制面板里的文件夹选项里把显示所有文件再看看有无这个文件，不要双击打开，把它压缩了传上来。aslm75.sys这个文件也是压缩了把它放到其他盘下

压缩了

附件: explorer.rar

那个75的文件压缩了就粉碎掉原来那个?

用附件里的费尔工具删除，里面有操作说明

附件: 费 尔删除文件工具.rar

要整个路径打进去？c:\windows\system32\drivers\aslm75.sys这样才可以？

恩,全路径

另外,C:\WINDOWS\explorer.exe找到重命名为1.exe,把附件里的explorer.exe放到C:\WINDOWS\下.重启或者注销电脑，删除C:\WINDOWS\1.exe

附件: explorer.rar

只要一改掉那个explorer.exe为1。EXE后那个window文件保护就不停的的弹出来。。取消不掉吖:kaka4:

用这个工具替换去

替换系统文件工具SmtRpl(7月20日更新支持系统环境变量）（内附说明图）
特别提醒：在Vista下运行本程序，请右击本程序选择以管理员身份启动

使用方法：把你准备替换的文件放于本程序所在目录中，输入待替换的文件路径即可。注意替换与被替换的文件的名字必须一样哦！
比如，你想替换C:\windows\abc.exe
那就需要将新的abc.exe放在本程序所在目录下。
然后启动本程序，在窗口内输入C:\windows\abc.exe
然后选择“执行替换”并重启电脑即可。


附件: SmtRpl.rar