瑞星卡卡安全论坛

最近中这个病毒的人太多了，请高手帮忙看一下……
      中毒现象是，在桌面创建淘宝网钓鱼链接，创建Internet图标指向莫名其妙的网站。
      病毒文件名为 369safe， 此病毒 扫描完了重启还有，怎么都杀不掉
      清理助手可以扫描的出来，但是清理后，重启就会再次出现。
      本人已经用尽各种方法，不胜其烦……

      因为机器上面没装瑞星，没装卡卡，只装了一个免费的360，我不信任360，又时间太紧，只下了个windows清理助手，扫描了两遍，现付清理助手的病毒扫描日志和系统扫描日志，请高手帮忙看一下……

      现附病毒扫描日志，和系统扫描日志，请高手帮忙看看?
      最近中这个病毒的人太多了……

      系统扫描日志在附件里

      病毒扫描日志为：     

3.1.1.10.0608 - 3.0.181.10.0701(1886) - 182
2010-07-02 19:16:10
----------------------------------------------------
[7FFFFFF1 - Unknown Trojan Horse/Virus|未知的风险软件]
C:\Documents and Settings\Administrator\Favorites\淘宝特卖.url (Delete File)
[00000BBC - Risk.369safe.0]
C:\Program Files\UltraEdit\369\369safe.exe (Delete File)
[00000B23 - Risk.Unknown]
C:\WINDOWS\nat.exe (Delete File)
[00000832 - 恶意软件残留项]
C:\Documents and Settings\All Users\桌面\Internet Explorer.zx (Delete File)
C:\Documents and Settings\All Users\桌面\我的淘宝.zx2 (Delete File)






再次上传附件：上传附件的名字为：qinglihou.log用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322)

附件: SysLog.Txt

附件: qinglihou.log

楼主先全盘搜索一下SCRNSAVE.EXE这文件在哪里。
将他们的路径发过来。

建议卸载360，先安装瑞星免费版杀毒软件升级杀毒，然后再使用卡卡助手清理修复。
瑞星杀毒软件免费六个月：
http://rsdownload.rising.com.cn/for_down/rsfree/ravfree10.exe

卡卡助手http://rsdownload.rising.com.cn/for_down/kakatool/kakasetupv6.exe

楼主这毒比较无语  （有系统文件被替换），还是建议用手工去除。

*    PLA'S Report For Your Problem [1.1.45]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010-7-2 - 下午 08:57:34
* 报告分析作者：byxxdrls
* 作者邮件地址：
* 作者其他信息：
* 报告正文开始：
********************************************************************

★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆

服务名【Ms-tl_Srv】，对应文件【C:\WINDOWS\tinlater.exe】
服务名【Theurlwd】，对应文件【C:\WINDOWS\System32\Theurlwd.url --> C:\WINDOWS\system32\Theurlwd.url】
服务名【tt】，对应文件【C:\WINDOWS\system32\rhqi.exe】
★ *********************************************** ★


★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\桌面天气日历.lnk
C:\Program Files\桌面天气\thewe.exe  (以上两项自己确定下）
C:\WINDOWS\tinlater.exe
C:\WINDOWS\System32\Theurlwd.url
C:\WINDOWS\system32\rhqi.exe
C:\WINDOWS10\0.dll

★ *********************************************** ★


★ 『建议您清理的浏览器加载项项目』 ★
  ☆ HELP ☆

【名称：QvodAdBlocker.QvodBlock】，【映像路径：C:\WINDOWS10\0.dll】
★ *********************************************** ★

难说

建议楼主尝试完金山网盾的修复再看如何

要删除的文件貌似少了一个
C:\Program Files\UltraEdit\369\369safe.exe
还在怀疑SCRNSAVE.EXE不正常


怀疑该文件夹C:\WINDOWS10  （楼主看清不敢删错了:kaka12:）下还有病毒文件，建议删除文件夹。
另：建议安装瑞星反病毒软件及防火墙。:kaka14:

是的，还要修复文件关联。谢谢你提醒。不过，清理助手把那个文件已经删除了。

呵呵 晕竟然没看到它被删除，跟着前辈们学习。前辈我还是怀疑SCRNSAVE.EXE这文件，您看他怎样？
还有
C:\WINDOWS\INF\msnetmtg.inf  (Verified)N/A
C:\WINDOWS\INF\msmsgs.inf    (Verified)N/A
C:\WINDOWS\INF\wmp.inf    (Verified)N/A
这些是干什么的？

这个见过的比较多了，没发现有问题的。

谢谢楼上的各位，太感谢大家了……
        感激之情，不胜言表……
        另，感谢三楼！不过，我自己的观点，当一个新病毒刚出来以后靠更换杀毒软件的办法，有时候是行不通的，并且这样的办法，并不能是自己的电脑水平长进。（当然，我这电脑中的病毒不一定是新病毒……）
        再次感谢大家！明天早上我到办公室以后，会用楼上几位达人的办法逐一试之。并且会把结果发上来。
        另，二楼说的那个文件，和路径我也会发上来。
        今天太晚了，没法到办公室去了……

谢谢楼上各位，尤其谢谢浪漫纸箱，谢谢反病毒小姐！
另外给浪漫纸箱说一声抱歉，那个文件的路径，我还是没能扫描出来，因为时间太紧了，有人催着赶快离开办公室了……
总之一句话，谢谢各位了，太感谢了……

前边的操作方法不管用，病毒没有清理干净，请高手达人，帮忙再给看看？
十分感谢！！

日志没看出什么，退出360监控，安装金山急救箱扫描修复下
http://www.duba.net/jijiu/index.shtml

急救箱扫描修复没有用

有没有试5楼的方法呀:kaka2:

天涯请重新上传SREng日志，系统状况已变，原SREng日志不顶用了。

这个病毒困扰很久了，是JSE写的，似乎有服务守护，希望版主帮忙研究下

JSE的脚本，加密的，我解不开，有人能指点迷津么

对不起啊，我已经把电脑重装系统了，这个病毒太难搞了……
连续折腾了我好几天，实在是受不了了……
楼上几位说的办法，好像都起不了什么作用……
总之，谢谢各位了，非常感谢！