瑞星卡卡安全论坛

同题，先谢谢了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 618; InfoPath.2; .NET CLR 2.0.50727)

附件: SREngLOG.log

附件: 提取文件.rar

下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
C:\WINDOWS\system32\mspmsnsv.dll
C:\WINDOWS\System32\xmlprov.dll
C:\WINDOWS\system32\WINSCARD.DLL

不论提取结果如何，哪怕提取失败，也请压缩发来看看

********************************************************************
*    PLA'S Report For Your Problem [1.1.42]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010/3/20 - 12:58:11
* 报告分析作者：梅罗
* 作者邮件地址：xy5831314@163.com
* 作者其他信息：
* 报告正文开始：
********************************************************************
★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆禁止下列服务
服务名【xmlprov】，对应文件【C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\xmlprov.dll】
服务名【WmdmPmSN】，对应文件【C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\mspmsnsv.dll】
(以上两个服务都可有可能是风险文件 被利用时会对应下载木马和恶意软件)
★ *********************************************** ★
★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\xmlprov.dll
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\mspmsnsv.dll
★ *********************************************** ★
★ 告知用户的其他事项： ★
请先关闭系统还原!!~
★ *********************************************** ★

winscard 好像是智能卡的驱动管理
不过没签名 上传看看吧~

文件提取上来了，再帮忙看看

那两项服务禁止掉吧 MD5不对

WINSCARD.DLL 不是病毒
mspmsnsv.dll和xmlprov.dll都被病毒替换了  瑞星报Win32.Agent.hg
可以查杀
他们也是感染源
可以感染exe文件 包括压缩包中的exe文件
请全盘杀毒 瑞星可以修复被感染的exe文件

果然是被替换的~:kaka12:

用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO
是否有可疑项目。有就修复它。

同时

打开windows任务管理器，察看是否有可疑的进程在运行，如果有把它结束。（Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他可能是病毒或恶意程序之类的东西。）
若提示无法结束，再察看控制面板〉管理工具〉服务，看有没有与之相关的 服务(特别是“描述”为空的)在运行，把它停止。同时设法查找这些恶意程序文件（如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件），然后删去！