瑞星卡卡安全论坛

各位哥哥姐姐帮忙看看日志，开机就有IEXPLORE.EXE进程，用户名SYSTEM。
日志已上传，小妹在线等:kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WPS; .NET CLR 2.0.50727)

附件: SREngLOG.log

下载附件的工具，把下面的文件删除后重启计算机。

c:\windows\temp\bclib\dp1.fne
c:\windows\temp\bclib\exmlrpc.fne
c:\windows\temp\bclib\krnln.fne
c:\windows\system32\drivers\wdelmgr20.exe


然后再使用卡卡助手清理修复。
首先请先下载最新版“卡卡上网安全助手6.2安装；（下载地址：http://tool.ikaka.com/ ），安装的过程中，请注意留下您的真实邮箱，以便我们在必要时与您取得联系。 打开安装好的卡卡上网安全助手，按照如下提示操作： 1.进行恶意软件清理：依次点击『常用』--『扫描流氓软件』，然后点击『立即清理』进行描流氓软件清理。 2.清理临时文件：依次点击『常用』---『电脑使用痕迹清理』，请全部选中后立即清理。 3.进行系统修复：依次点击『常用』----『系统修复』，右侧自定义修复，选择需要修复的选项，然后点击『修复选中项』。

附件: SmtDel.rar

还是不行啊，大哥。处理后总是提示“重新启动后删除”，点确定重新启动，进程和文件都仍然还在。
是不是黑手还没斩断？感觉似乎是互相保护的样子。

c:\windows\system32\sysdll32.dll
c:\windows\system32\drivers\wdelmgr20.exe
c:\program files\sysdll32\srvany.exe
将这三个文件打包发来。

斑竹英明呀~~
我按照你的提示找到了以下文件:
c:\windows\system32\sysdll32.dll
c:\windows\system32\sysdll32.db（这个也应该是一套的）
c:\program files\sysdll32\srvany.exe
把这三个打了包
至于c:\windows\system32\drivers\wdelmgr20.exe之前按照上面那个大哥的提示已经删除了，没再出现过，所以打不了包。
打包以后，我去安全模式下吧它们全删除了，又删除了之前重复生成的
c:\windows\temp\bclib\dp1.fne
c:\windows\temp\bclib\exmlrpc.fne
c:\windows\temp\bclib\krnln.fne
这些文件，然后重新启动后，IEXPLORE.EXE(SYSTEM)不见啦！！！
那些文件也没再生成:kaka12:

但是我怎么把打包文件传给你呢，版主？另外，如果打包文件一直不删除，会不会有什么危险？我现在是把打包文件放在回收站里的，如果需要，我就还原了传给你，但会有危险吗？

我刚才点回复，以及点给你发信息，都看不到可以上传附件的提示

对了，还删除了一个sysdll32.EXE文件,图标是一个图片的样子,我只是看到它的文件名和斑竹提示的那个相同,就看了下，居然是一个.EXE文件,确定是木马无疑,否则没必要做个图片样子迷惑人:kaka6:

但是这个图片文件我没打包