瑞星卡卡安全论坛

每次都跟我说重启删除病毒
重启了也还是一样...
说在C:\WINDOWS\System32\vook.sys
去找了也没有啊...
怎么办~！？~！？~？！~？~？~？！？~！？~！？~！？~？救命~！~！~！~！~！~~~~
555555555555555555555555555555555555555555555555555555

http://forum.ikaka.com/topic.asp?board=28&artid=6979213第5楼下载System Repair Engineer 2.0.12.350导出全部日志

【回复“bearpest”的帖子】
如果系统分区不是NTFS格式，请重启到DOS下，用DEL命令删除C:\WINDOWS\System32\vook.sys

好像删了后还会再有的。自启动项应该有个exe文件的，还可能有一个dll文件插入进程。
taylor05771那边正问我有没有这个样本呢，这不就看到了。楼主删除前先找到这个文件，用winrar压缩打包，加密码123，发到我的邮箱yicong2005@163.com，拜托了。

引用:

【bearpest的贴子】每次都跟我说重启删除病毒 重启了也还是一样... 说在C:\WINDOWS\System32\vook.sys 去找了也没有啊... 怎么办~！？~！？~？！~？~？~？！？~！？~！？~！？~？救命~！~！~！~！~！~~~~ 555555555555555555555555555555555555555555555555555555 ...........................

在C:\Documents and Settings\用户名\Local Settings\Temp\文件夹中找找，看看是否有一个SVCH0ST.EXE。
如果有，请结束SVCH0ST.EXE进程（注意H后面的字符是数字“0”，不是字母“O”），将此文件用WINRAR打包（解压密码用virus），发到：baohein@yahoo.com.cn。

建议先扫个报告粘上来，这样大家更好为你出主意了。
请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改。

引用:

【baohe的贴子】 在C:\Documents and Settings\用户名\Local Settings\Temp\文件夹中找找，看看是否有一个SVCH0ST.EXE。 如果有，请将此文件用WINRAR打包（解压密码用virus），发到：baohein@yahoo.com.cn。 然后，重启到安全模式下，删除C:\Documents and Settings\用户名\Local Settings\Temp\SVCH0ST.EXE。 ...........................

应该正是这个玩意。找到的话，麻烦楼主也发一份给我（yicong2005@163.com）；或者版主拿到的话，麻烦也转发给taylor05771。

这玩意 最近 有 流行的趋势

上面涉及的文件 偶都要

传这里吧
http://www.87871018.com/up/index.asp

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <MsnMsgr><"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <3823881ceac4d83d91e6f2bc54c34fa0><"C:\金山词霸.exe" -t 7240.0>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <BSVCHOST><C:\DOCUME~1\user\LOCALS~1\Temp\SVCH0ST.EXE>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <SoundMan><SOUNDMAN.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <nwiz><nwiz.exe /install>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <RemoteControl><"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <IMSCMig><C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <BigDogPath><C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <iTunesHelper><"E:\ipod\iTunesHelper.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <KsgUpdateRun><C:\Program Files\Common Files\kingsoft\KSG\client.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <SCIntruder.dll><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <renewup><C:\Program Files\CNNIC\Cdn\cdnrenew.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <YLive.exe><C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <yassistse><"C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <QuickTime Task><"C:\Program Files\QuickTime\qttask.exe" -atboottime>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINDOWS\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

【回复“bearpest”的帖子】
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<BSVCHOST><C:\DOCUME~1\user\LOCALS~1\Temp\SVCH0ST.EXE>
这就是那只木马。
显示隐藏文件，找到C:\Documents and Settings\user\Local Settings\Temp\SVCH0ST.EXE，打包（解压密码用virus），发到：baohelin@yahoo.com.cn。

【回复“bearpest”的帖子】
打包加密问题——

图1

附件: 155847200669170443.jpg

【回复“bearpest”的帖子】
打包加密问题——

图2

附件: 155847200669170511.jpg

我还要继续发数据报告么...

引用:

【bearpest的贴子】我还要继续发数据报告么... ...........................

不要了

谢谢哦~

找不到squell吖...

谢谢大家哦~~！！！