瑞星卡卡安全论坛

前几天我中了Trojan.PSW.LMir.lvl，用瑞星杀怎么也杀不掉，提示计算机重起后删除，重起机器后，病毒还存在，还是杀不掉，我又用ewido 3.5 杀，就根本连病毒都查不出来，我晕了，那位英雄来救命啊！~~~~~~~~~~~~~~急！！~~~~~~~~~我在线等！~~

病毒路径和文件名

感染的文件为16186M.bmp
途径为c:\windows

咱水平不行 扫分日志上来吧

直接用冰刃删除

偶菜鸟，怎么扫日志啊？？

冰刃不行，那个病毒可以自动还原，我在注册表里找到这个病毒的相关的键值。但是删除或是更改后都自动还原了！~

HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:16:14, 日期 2006-12-16
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
d:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Rising\Rav\RavTask.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
D:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\AntiSpyware\runiep.exe
d:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.594\HijackThis1991zww.exe

O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - d:\Program Files\BitComet\BitCometBar\BitCometBar0.3.dll
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [rgzspe54] %systemroot%\system32\Rundll32.exe %systemroot%\system32\rgzspe54.dll,DllUnregisterServer
O4 - 启动项HKLM\\Run: [runeip] d:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "d:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - 启动项HKLM\\RunOnce: [KKDelay] d:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\Program Files\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - d:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - d:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\MSMSGS.EXE
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: 16186M.BMP
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - NT 服务: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Server Advance (ServerAC) - Unknown owner - C:\WINDOWS\system32\Security.exe

高手请看一下扫描日志最下面那个注册表那个键值，16186M.bmp

不用看了，这个是传奇木马大盗。找专杀吧，瑞星肯定没戏！

用了橙色8月专杀没用啊

下载安天木马防线2005+
http://www.antiy.com/download/index.htm
配合卡卡上网安全助手一同查杀，祝你好运！

谢了，我试试先

杀好了回贴

修复
O20 - AppInit_DLLs: 16186M.BMP

安全模式删除
C:\WINDOWS\16186M.BMP

请问何必需要专杀那么麻烦?

到底是M  就是厉害撒

版主大人好！这个您就不懂了。像楼主的情况，岂能让病毒藕断丝连？
还有哦，我那个帖子可不是广告贴。

貌似杀好了？

不错，不错！

我试了木马防线了，现在我在WINDOWS下根本就找不到那个文件，看都看不见，怎么删除？？？？用HijackThis_815修复提示不能修复该项注册表的内容

NN的，我的注册表明明被改了，用瑞星的注册表修复扫描，我日，他显示未找到修改项，操!~~~~~~~~怒了

看来你遇到悍匪了!下个icesword，里面有个加强版的文件管理器和注册表编辑器。用那个定点清除！别泄气再试试。

ICESWORD这里下载
http://www.ttian.net/website/2005/0829/391.html
还不行就祭出UNLOCKER
http://ccollomb.free.fr/unlocker/

查看服务中有无以下项目，禁用之。
WinDHCPsvc [为远程计算机注册并更新 IP 地址。]
ServerAC [给予本地帐户高级保护机制。]

用冰刃删除该注册表无效，关掉冰刃在去查看，那个键值又复员了，下面的那个什么助手我下了，但是不知道是干什么用地！~~5555555555
难道要重做系统？？？？这个传奇木马到底对电脑有多大的伤害哦？？？

按你说的，把上面的那两项服务都禁用了，现在干什么？

再试试删除16186M.BMP
并且清除注册表中的启动项

最好到安全模式去试试

算了。算了，谢谢大侠，偶都试过了，没什么用，打包给瑞星吧，太晚了，睡觉先，谢谢大侠了！~

我和你一样 不幸啊 这个病毒太狠了啊