运行病毒以后
瑞星关了，下载了一些木马

日志不正常项目如下：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<svc><C:\DOCUME~1\may\LOCALS~1\Temp\ravsons.exe>  []
<ravcqmon><C:\Program Files\NetMeeting\ravcqmon.exe>  []
    <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <ravqjmon><C:\Program Files\NetMeeting\ravqjmon.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <ravzxmon><C:\Program Files\NetMeeting\ravzxmon.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsmyapm.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellE xecuteHooks]
    <{90BC520C-9175-470E-94B8-10FD869D170B}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.yer>  []
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> []
    <{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys>  []
    <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> []
    <{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll> []
    <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll> []

进程：
    [C:\WINDOWS\system32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\system32\tlvpri.dll]  [N/A, ]
    [C:\WINDOWS\system32\rsmyapm.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
    [C:\WINDOWS\system32\rsztapm.dll]  [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
  [C:\WINDOWS\system32\jzipri.dll]  [N/A, ]
    [C:\Program Files\NetMeeting\ravzxmon.dat]  [N/A, ]
    [C:\Program Files\NetMeeting\ravqjmon.dat]  [N/A, ]
    [C:\Program Files\NetMeeting\ravmsmon.dat]  [N/A, ]
    [C:\Program Files\NetMeeting\ravcqmon.dat]  [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys]  [N/A, ]

Autorun.inf
[D:\]
[AutoRun]
open=SysAuto.exe
shellexecute=SysAuto.exe
shell\打开(&O)\command=SysAuto.exe
[E:\]
[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\打开(&O)\command=AutoRun.exe


处理方法：（这个病毒比较菜，没什么特别的）
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\tlvpri.dll] [N/A, ]
[C:\WINDOWS\system32\rsmyapm.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\rsztapm.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\jzipri.dll] [N/A, ]
[C:\Program Files\NetMeeting\ravzxmon.dat] [N/A, ]
[C:\Program Files\NetMeeting\ravqjmon.dat] [N/A, ]
[C:\Program Files\NetMeeting\ravmsmon.dat] [N/A, ]
[C:\Program Files\NetMeeting\ravcqmon.dat] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys]
除了这些需要改名重起删除

其他就是正常的删除，再清除注册表就行了
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsmyapm.dll>  []
这个重起后清空



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

厉害

学习了

引用:

【孤独更可靠的贴子】厉害 学习了 ………………

孤独大大也来了，好有面子哟

这个昨天晚上我也中了，不过似乎病毒尚未完全运行，我就参照前几日看到的几个不同类的帖子处理了。。。不过，昨太晚了没来得及检查是否清除干净了，今天回去比对着处理一下。谢了

要是有查杀率100％的杀软就好了。

最近很多病毒都拿seh开刀

SYSAUTO好像是QQPASS