瑞星卡卡安全论坛

不小心中了以相当bt的病毒
经过相当长的时间的奋战，，
现在可以正常使用系统了。（那个caad好像是运来运行木马用的，木马删除了
但是这个删不掉 同时那个还有1188的毒 其他的本领有限 就不知道了）
不过那个病毒杀不掉、、
应该是有自动恢复功能的，
easydelete 和 xdelbox 均无法清楚。
尝试winpe删除
删除后进入系统仍存在。。 
C:\WINDOWS\SYSTEM32\CAAD.EXE
大侠们帮帮忙 小弟谢过了

昨天发过帖子了。。
但是没能得到解决。。所以重复发帖了 对不起啊。


程序提升权限被禁止：
C:\windows\system32\caad.exe


程序被禁止运行：
C:\WINDOWS\system32\rundll32.exe

刚开机时是没事的
一打开我的电脑 他就被激活了。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)

附件: SREngLOG.log

附件: caad.RAR

附件: RSTray.RAR

c:\documents and settings\administrator\「开始」菜单\程序\启动\rstray.exe.lnk
C:\WINDOWS\SYSTEM32\CAAD.EXE
这两个文件打包发送上来。

又发现一个挺奇怪的事。。

驱动被禁止加载：
system32\drivers\npf.sys

我怀疑这个驱动是病毒加载的
可是发现drivers目录下没有npf.sys...

从日志上看，这三个dll有问题，PsNotify.dll、ChNormal.dll、GameLink.dll，第一个dll应该使用来随机启动病毒的，另外两个dll被插入进程中了。另外3楼说的那个sys好像也有问题，不过我不能确定。如果能提供样本应该更好解决。

好像是正常的。。
http://www.virustotal.com/analisis/ce0deb035a02dd99dd6695580c58b32b2c7ed83c706694ddbaed75012e0557f3-1265338613

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\chnormal.dll
c:\windows\system32\ojpeoc.dll
c:\program files\common files\system\wab32er.dll
c:\windows\system32\apphelp32.dll
c:\program files\internet explorer\ietimbar\ietimbar.dll
c:\documents and settings\all users\application data\microsoft\media player\wmp\mtlrd.sys

2.删除重启后使用SREng修复下面各项：

 
  启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[nazgtw / nazgtw]    <C:\WINDOWS\system32\svchost.exe -k nazgtw-->%SystemRoot%\System32\ojpeoc.dll>
[Application Management / AppMgmt]    <C:\windows\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll>
[Background Intelligent Transfer Service / BITS]    <C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\qmgr.dll>
[MS Driver Management Service / WINSER_0x1]    <SVCHOST.EXE -K NETSVCS-->C:\Program Files\Common Files\System\wab32er.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[System event loader / mtlrd]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys>

    系统修复－－　浏览器加载项之如下项删除：
[IEHlprObj Class]    <C:\windows\system32\apphelp32.dll>
[IETimbar]    <C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll>

...
报告。。。仍无法清楚。。
这个病毒有自动恢复的程序
而那个好像还是免杀的- -、
能不能提供一个可以记录文件访问的软件呢？

发个新的日志上来看一下，可以使用瑞星的主动防御的应用程序访问控制，设置规则，监控C:\WINDOWS\SYSTEM32\目录，查看具体是那个文件创建CAAD.EXE。先扫描个处理完成后的新日志上来把。

嗯 好的、

附件: SREngLOG.log

感觉这次无药可就了。。
又多了个FTP= =#

提权失败后。。
病毒暂时不发作；额

附件: ASD.zip

嗯
rundll32 进程被替换了吧。
看一下进程吧
我把rundll32  暴力删除了会影响系统登录吗
你给我发来一个好的rundll32吧  谢谢了

附件: 00.zip

好像和网通客户端捆绑启动了。。

1.建议使用XDelBox1.8删除以下文件：(电信下载)
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\inmtnbdcu.exe
c:\windows\system32\lmhosts.exe
c:\windows\system32\caad.exe
c:\program files\taskman.exe
c:\windows\system32\drivers\npf.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[系统设置]    <C:\WINDOWS\system32\inmtnbdcu.exe>
[N/A]    <C:\WINDOWS\system32\LmHosts.exe>

    启动项目 －－　启动文件夹之如下项删除：
[RSTray.exe]    <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\RSTray.exe.lnk>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[MediaServ / MediaServ]    <C:\windows\system32\caad.exe>
[Wtool / The Wtools]    <C:\Program Files\TASKMAN.EXE>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>

计划任务 把下面的删了
[已启用] ms.job
        rundll32
[RSTray.exe]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\RSTray.exe.lnk --> D:\PROGRA~1\Rising\ANTISP~1\RSTray.exe [Beijing Rising Information Technology Co., Ltd.]><N>
也很可疑

重装了4次系统。。
最后全盘格式化重装。。
终于好了。。