瑞星卡卡安全论坛

病毒名称	处理结果	发现日期	查杀方式	路径	文件	病毒来源
Dropper.Xema.c	删除染毒文件成功	2009-10-17 22:09	手动查杀	C:\Documents and Settings\Administrator\Local Settings\Temp	5.tmp.exe>>Aspack212r	本地服务器
Dropper.Xema.c	删除染毒文件成功	2009-10-17 10:36	手动查杀	C:\Documents and Settings\Administrator\Local Settings\Temp	4.tmp.exe>>Aspack212r	本地服务器
Dropper.Xema.c	删除染毒文件成功	2009-10-16 22:35	手动查杀	C:\Documents and Settings\Administrator\Local Settings\Temp	3.tmp.exe>>Aspack212r	本地服务器
Dropper.Xema.c	删除染毒文件成功	2009-10-15 22:36	手动查杀	C:\Documents and Settings\Administrator\Local Settings\Temp	E7.tmp.exe>>Aspack212r	本地服务器
Dropper.Xema.c	删除染毒文件成功	2009-10-15 22:36	手动查杀	C:\Documents and Settings\Administrator\Local Settings\Temp	2.tmp.exe>>Aspack212r	本地服务器
Dropper.Xema.c	删除染毒文件成功	2009-10-15 22:36	手动查杀	C:\Documents and Settings\Administrator\Local Settings\Temp	1.tmp.exe>>Aspack212r	本地服务器

大家帮我看看怎么回事，他是什么病毒呀

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler 4.0; CIBA)

路径    文件    病毒来源
C:\Documents and Settings\Administrator\Local Settings\Temp    5.tmp.exe>>Aspack212r    本地服务器
C:\Documents and Settings\Administrator\Local Settings\Temp    4.tmp.exe>>Aspack212r    本地服务器
C:\Documents and Settings\Administrator\Local Settings\Temp    3.tmp.exe>>Aspack212r    本地服务器
C:\Documents and Settings\Administrator\Local Settings\Temp    E7.tmp.exe>>Aspack212r    本地服务器
C:\Documents and Settings\Administrator\Local Settings\Temp    2.tmp.exe>>Aspack212r    本地服务器
C:\Documents and Settings\Administrator\Local Settings\Temp    1.tmp.exe>>Aspack212r    本地服务器

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

好像很多病毒都是这样子的

已在附件中上传了日志了

附件: SREngLOG.log

类型|木马名称|文件|处理时间
木马 | Trojan-Clicker/Win32.Agent.esj | C:\WINDOWS\system32\gfjfiy.dll | 2009-10-18 11:25:00     
  谁能帮我把这个病毒杀下去  谢谢

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\cnnic\cdn\cdnup.exe
c:\program files\cnnic\cdn\cdnrenew.exe
c:\program files\cnnic\cdn\cdndet.dll
c:\program files\cnnic\cdn\cdnforie.dll
c:\program files\cnnic\cdn\cdnspie.dll
c:\program files\cnnic\cdn\imaoe.dll


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[CdnCtr]    <C:\Program Files\CNNIC\Cdn\cdnup.exe>
[renew]    <"C:\Program Files\CNNIC\Cdn\cdnrenew.exe" pre>

**************以上分析报告由SREngLog分析助手提供******************
分析：小狮子
时间：2009-10-18
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)


楼主安装的网络警软件？

c:\windows\system32\capnsg.dll
c:\windows\system32\arshell.dll
c:\windows\system32\arcomm.dll
c:\windows\system32\arlib.dll
c:\windows\system32\arlog.dll
c:\windows\system32\armmcomm.dll
c:\windows\system32\arnet.dll
c:\windows\system32\arsdb.dll
c:\windows\system32\arsdbclient.dll
c:\windows\system32\arsfile.dll
c:\windows\system32\arws.dll
c:\windows\system32\arwsdaemon.dll
c:\windows\system32\taskmgr.dll
c:\windows\system32\capscreen.dll
c:\windows\system32\chatplugin.dll
c:\windows\system32\threadget.dll
c:\windows\system32\arwsplug.dll
c:\windows\system32\srsvc.dll

用附件把这些东西提取后发上来看一看

附件: 文件批量提取工具.rar

照你的办法做了，但在SREng启动项目 －－ 注册表之如下找不到C:\Program Files\CNNIC\Cdn\cdnrenew.exe，现在启老是会出来个打开了的C:\Program Files\CNNIC\Cdn\cdnrenew.exe文件夹

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <CdnCtr><C:\Program Files\CNNIC\Cdn\cdnup.exe>  []

这项删除即可，不可能找不到的，是你没找正确而已

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

附件: 新建文件夹.rar