瑞星卡卡安全论坛

机器中招了，任务管理器和注册表被锁，每次重启QQ,飞信软件必须重新下载才能正常安装。试了很多常用查杀软件进行修复也未能解决。
    经过多次还原系统，发现不执行EXE程序没事，一旦点击运行马上出现上述现象---任务管理器和注册表被锁（任务管理器已被系统管理员停用）。

    用360安全卫士查杀结果如下：

木马名称:TrojanSpy/Win32.Agent.gmq
路径:C:\Documents and Settings\Administrator\Local
Settings\Temp\winjwqwp.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winjwqwp.exe
一旦删除，过不一会又会生成一新名字的木马。

木马名称:TrojanSpy/Win32.Agent.gmq
路径:C:\Documents and Settings\Administrator\Local
Settings\Temp\wintimp.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintimp.exe
如此反复的进行。

    请问如何解决？这是什么类型的木马，是不是所有盘的文件都被感染了？
        难道只有全格才能解决问题。。。不忍心，很多攒了很久的资料。
    尽管发言，知道一点也行。先谢谢了。

    下附SREng日志。



========================================================================

        我找到源病毒了。:kaka5:刚才从U盘里发现的。找了台机器运行了下，马上出现上述症状。晕死。
不过无法上传，是一个指向行的MS-DOS程序。
属性如下：
        名字：wsomv
文件类型：指向 MS-DOS 程序的快捷方式
        描述：记事本

上传个病毒的截图，麻烦在帮看看。谢谢。


用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer)

附件: SREngLog.txt

请试试把系统的temp的文件夹下的内容删除

不行啊。还是老样子

这些是什么？？

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <pagefile><C:\WINDOWS\newrun.exe /d>  [小兵作品]

==================================
启动文件夹
[10]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\10.exe -->  [File is missing]><N>

==================================
驱动程序
[abp470n5 / abp470n5][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\lqrmrn.sys><N/A>

将C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\10.exe文件压缩发来看

那个10.EXE是镜像盘自带的，应该没问题的。

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\10.exe
C:\WINDOWS\newrun.exe
复制到一块儿，用WinRAR压缩后附件上传

重新还原了下，就有个10.exe.    c:\windows\newrun.exe 没有了。
10.exe压缩在附件里了。

附件: 10.rar

要的东西压缩了你看一下

附件: pss.rar

10.EXE是镜像盘自带的:kaka2:

从来没见过有自带那文件的:kaka6:

如何解决啊。还在被痛苦折磨中。:kaka4:

难道你一直没去删除那10.exe:kaka2: