瑞星卡卡安全论坛

上日志，msctfime.iem。。。杀不掉，求解！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; TencentTraveler 4.0)

附件: SREngLOG.log

先留个脚印。

日志中的问题项目已标注（见附件），红色的肯定是有问题的项目，蓝色的项目不是很清楚，有待验证：

附件: 文档.rar

建议删除
c:\documents and settings\administrator\application data\dk.sys
c:\windows\system32\msctfime.iem
c:\windows\system32\dbr06020.ocx
c:\program files\common files\system\kb037637.dmp
c:\program files\common files\system\kb088751.cpu
c:\program files\common files\system\kb212268.mak
c:\program files\common files\system\kb349523.uce
c:\program files\common files\system\kb614833.dla
c:\program files\common files\system\kb766286.tad
c:\program files\common files\system\kb947527.nvu
c:\program files\common files\system\kb975074.dma
c:\windows\system32\bhoexe.dll -----                    <<查询这是鬼影病毒释放的文件 建议楼主下载XueTr查看mbr是否被修改 必要时下载鬼影专杀试试>>
c:\documents and settings\all users\「开始」菜单\程序\启动\desktop
c:\documents and settings\all users\「开始」菜单\程序\启动\desktop.file
[RunShadowTip]    <C:\WINDOWS\system32\shadow\ShadowTip.exe>  c:\windows\system32\shadow\shadowtip.exe ----“”影子系统的相关文件吗“”


禁用启动项目
[des]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop>
[desktop.]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop.file>

驱动
[360FkAdv / 360FkAdv]    <>---不存在还运行？ 用XT删除之
附xt下载地址：http://www.xuetr.com/
鬼影专杀：http://down.tech.sina.com.cn/content/47368.html
                    http://sd.keniu.com/zt/ztguiying.html

补充一点：

[PID:2268][C:\WINDOWS\services.exe]
[Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]

这个进程是有问题的。

晕，漏看了啊:kaka11: ……

这病毒破影子系统，猫叔有兴趣的话向楼主讨那个%temp%\904496那个临时文件玩玩，这毒邪乎，中了后任务管理器中除了system idle process这个系统空闲资源进程用户名显示为“system”外，其它进程都不显示用户名。

C:\Program Files\Java\gtapi.dll 这个也有问题哟:kaka7:

我倒：

极虎病毒的变种？:kaka7:

你手里有？发到样本区啊:kaka12:

没有，昨天晚上12点左右楼主才通过QQ求助，我实在太困了……:default21:

我通过QQ联系下楼主吧……:default72:

可疑文件已经传上http://bbs.ikaka.com/showtopic-8951037.aspx