瑞星卡卡安全论坛

病毒名:Trojan DL Agent.ywk 文件路径为c:\Windows 文件各为IEXPLORE.exe我采用瑞星杀毒软件网络版进行杀毒后无法删除,请问应如何处理和解决,能否给予详细告知查杀方法为谢.

到http://free5.ys168.com/?jxsbb
下载HijackThis1[1].99.1.rar 0.2MB 系统扫描工具或者sreng2.zip 0.4MB 系统扫描工具，解压，打开，运行，执行扫描，保存日志，将日志内容贴上来，注意不要改动，一次贴不完，分多次贴！

我不会进行系统扫描日志.

【回复“6981313”的帖子】我的机器中了与"1楼"一样的病毒,现在我把日志贴上去,帮忙看看吧!!
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      15:06:30, 日期 2006-11-13
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\工具\杀毒工具\瑞星\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
F:\工具\杀毒工具\瑞星\Rising\Rav\Ravmond.exe
f:\工具\杀毒工具\瑞星\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
F:\工具\杀毒工具\瑞星\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
f:\工具\杀毒工具\瑞星\rising\rfw\RfwMain.exe
F:\工具\杀毒工具\瑞星\Rising\Rav\RavTask.exe
F:\工具\杀毒工具\瑞星\Rising\Rav\Ravmon.exe
C:\chenhu2\chenqxms.exe
F:\工具\CheckMsg.exe
C:\WINDOWS\system32\ctfmon.exe
F:\工具\迅雷下载5.1\Thunder.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\工具\杀毒工具\瑞星\Rising\Rav\Rav.exe
C:\Documents and Settings\Administrator\My Documents\HijackThis1991zww.exe

R3 - URLSearchHook: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - (no file)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O4 - 启动项HKLM\\Run: [RavTask] "F:\工具\杀毒工具\瑞星\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe
O4 - 启动项HKLM\\Run: [qcsszjcz] c:\chenhu2\chenqxms.exe
O4 - HKCU\..\Run: [海信电子政务办公系统] F:\工具\CheckMsg.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - F:\工具\迅雷下载5.1\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\工具\迅雷下载5.1\getallurl.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\aelupsvc32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\aelupsvc32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: _{E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {18F57D30-EF36-4C0E-9343-7BFA6DF79B4A} (XLink Class) - http://active.micr0media.com/swflash.CAB
O16 - DPF: {C5D0DFF5-6D39-4F98-88CD-12E8430A6300} (clienttime.client) - http://www.time.ac.cn/times/client.CAB
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {F7071183-64ED-4268-B6FC-D59A48D5F11B} (HisenitBSOA Control) - http://192.168.10.2/WEBOA.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{C026FD8B-77DF-4500-9CAF-2266CB91CE21}: NameServer = 202.102.128.68,202.102.152.3
O18 - 列举现有的协议: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: APIHookDll.dll
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - f:\工具\杀毒工具\瑞星\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - f:\工具\杀毒工具\瑞星\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - F:\工具\杀毒工具\瑞星\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - F:\工具\杀毒工具\瑞星\Rising\Rav\Ravmond.exe

日志贴上来了,高手们给看看吧!!!今天它已经折腾我一天了!!!!

c:\Windows 文件各为IEXPLORE.exe
直接删除.这个文件名与路径不符.

【回复“9527*”的帖子】
老大,删除不了啊!!
显示:IEXPLORE.exe无法删除,访问被拒绝.

先到http://free5.ys168.com/?jxsbb下载
WinsockxpFix.rar 0.6MB lsp修复工具
LSPFix.zip 178.3KB lsp修复工具
执行完以下步骤后,用LSPFix修复LSP,若还不能上网,用WinsockxpFix.
修复:
O4 - 启动项HKLM\\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\aelupsvc32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\aelupsvc32.dll
安全模式下删除:
C:\WINDOWS\IEXPL0RE.exe
c:\windows\system32\aelupsvc32.dll

【回复“6981313”的帖子】
两个修复工具倒是下下来了,可是不会用啊,能不能说得详细一点啊!!!

那就直接用WinsockxpFix吧,点FIX就成!

【回复“6981313”的帖子】
直接用WinsockxpFix,点FIX后出来一个对话框,直接选"是"吗?

是?!不是吧,我的是英文版!什么对话框,截个图贴上来!

再:上网不受影响的话,可以不用修复LSP!

【回复“6981313”的帖子】
很遗憾的告诉你，老大，按你的方法，安全模式下也是删除不了。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      17:58:37, 日期 2006-11-15
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\WDelMgr20.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
F:\Microsoft Office\OFFICE11\EXCEL.EXE
F:\qq\QQ.exe
F:\qq\TIMPlatform.exe
C:\Documents and Settings\liuye\桌面\HijackThis1[1].99.1\HijackThis1991zww.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\zh-cn\msntb.dll
O3 - IE工具栏增项: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\zh-cn\msntb.dll
O3 - IE工具栏增项: BitComet工具栏 - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.6.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] ; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\qq\QQ.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\quartz32.dll' missing
O16 - DPF: {8686F2A6-DC01-4E8F-BDE3-DCC7DBBAD6AE} (163Uploader Control) - http://upload.photo.163.com/163Uploader.cab
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Unknown owner - C:\KAV2005\KPfwSvc.EXE (file missing)
O23 - NT 服务: WDelMgr20 - Unknown owner - C:\WINDOWS\system32\drivers\WDelMgr20.exe

大哥 帮我看看 我的  情况一样

这个病毒中aelupsvc32.dll是利用svchost.exe进程隐身运行的
用卡卡找到运行aelupsvc32.dll的svchost.exe然后禁止它
再分别对这三个文件iexpl0re.exe，aelupsvc32.dll，wsfit32.sys进行解锁删除，进入注册表编辑器，搜索相关字节清除，应该就行了
最后用LSPFIX或WINSOCKXPFIX软件来修复tcp/ip协议