瑞星卡卡安全论坛

病毒名称    处理结果    发现日期    扫描方式    路径    文件
Trojan.DL.Agent.gsy    删除成功    2007-03-16 09:19    文件监控    C:\WINDOWS    k86cq3fy68.dll>>UPX
Trojan.DL.Agent.gsy    删除成功    2007-03-17 12:32    文件监控    C:\WINDOWS    7rgxrs1.dll>>UPX
Trojan.DL.Agent.gsy    删除成功    2007-03-19 12:36    文件监控    C:\WINDOWS    dgfmfudb9.dll>>UPX
Trojan.DL.Agent.gsy    删除成功    2007-03-21 13:08    文件监控    C:\WINDOWS    thggwf5ae.dll>>UPX

这是我瑞星杀毒软件的监控记录，每天开机时都会报一个这样的病毒，并且提示已删除成功，然后我用瑞星扫描硬盘，找不到任何病毒，将电脑重新启动或者关机再开，瑞星监控不报任何病毒，但是第二天上班一开机，又会报病毒，关机再开，仍然不报，重启电脑，进BIOS将时间改成第二天的时间，进系统后又报病毒，改问题已骚扰我一周了，请问，除了重装系统外，还有其他解决办法没得？
我用瑞星卡卡、360卫士、超级兔子检查过，没报任何流氓软件，开机启动项里也没有不认识的进程加载。

手动进入安全模式 删除这几个文件！

这几个文件都是启动后就被瑞星干掉了，然后第二天启动后又换个名字出现了。

如果您的操作系统是Windows XP：

步骤1 启动计算机按F8键进入安全模式， 然后删除掉这三个文件
C:\%windows\%system32
\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe
步骤2 修复注册表键值（修改之前请务必备份注册表）
1)HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\Windows NT\
CurrentVersion\Winlogon
修改键值System 为 空（即将键值System指向的数值数据删除）
2)删除注册表中与WinDefendor.dll相关的键值。
步骤3 重新启动计算机

【回复“异族风剑”的帖子】
没得这三个文件，进安全模式也找不到这三个文件。

当时是否有联网？禁用网络连接或拔网线后，会不会还有？以此确认一下是不是外来的。

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载System Repair Engineer 2.4.12.806导出全部日志发上来。

【回复“轩辕小聪”的帖子】
病毒样本和System Repair Engineer 2.4.12.806导出的全部日志已发送到yicong2007@yahoo.com.cn

......

肯定是驱动级的病毒保护着..

应该先干掉驱动,不然治标不治本

【回复“轩辕小聪”的帖子】
来自于内部，因为网卡禁用后，还是这样，另外，这个病毒的特点是一天只出现一次，我必须改系统时间，启动电脑时它才出来。

【回复“孤独更可靠”的帖子】
我这个系统用了大半年了，没期间没有增加什么驱动。

应该是3月8日中招的，当时我瑞星监控全部关闭，用的是NOD32,下面是nod32的日志
时间模件物件名称病毒操作用户名称信息
2007-3-16 9:10:13核心文件c:\windows\k86cq3fy68.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-16 9:10:05AMON文件C:\WINDOWS\k86cq3fy68.dllWin32/TrojanDownloader.Agent.BEF 木马XL\Xinl程序尝试访问文件时发生事件： C:\WINDOWS\system32\rundll32.exe.
2007-3-15 10:14:13AMON文件C:\WINDOWS\qx.dllWin32/TrojanDownloader.Agent.BEF 木马已删除XL\Xinl尝试访问文件时发生事件： C:\WINDOWS\Explorer.EXE.
2007-3-15 8:57:36核心文件c:\windows\qx.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-15 8:57:09核心文件c:\windows\qx.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-15 8:57:02AMON文件C:\WINDOWS\qx.dllWin32/TrojanDownloader.Agent.BEF 木马XL\Xinl程序尝试访问文件时发生事件： C:\WINDOWS\system32\rundll32.exe.
2007-3-14 8:55:04AMON文件C:\WINDOWS\l8mdk6qb.dllWin32/TrojanDownloader.Agent.BEF 木马已删除XL\Xinl尝试访问文件时发生事件： C:\Program Files\360safe\360safe.exe.
2007-3-14 8:48:41AMON文件C:\WINDOWS\l8mdk6qb.dllWin32/TrojanDownloader.Agent.BEF 木马XL\Xinl程序尝试访问文件时发生事件： C:\WINDOWS\system32\rundll32.exe.
2007-3-13 8:57:39AMON文件C:\WINDOWS\h27f6nrix7fh.dllWin32/TrojanDownloader.Agent.BEF 木马已删除XL\Xinl程序尝试访问文件时发生事件： C:\WINDOWS\Explorer.EXE.
2007-3-13 8:55:55核心文件c:\windows\h27f6nrix7fh.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-13 8:55:11核心文件c:\windows\h27f6nrix7fh.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-13 8:55:04AMON文件C:\WINDOWS\h27f6nrix7fh.dllWin32/TrojanDownloader.Agent.BEF 木马XL\Xinl程序尝试访问文件时发生事件： C:\WINDOWS\system32\rundll32.exe.
2007-3-12 9:20:28AMON文件C:\DOCUME~1\XINL\LOCALS~1\TEMP\chunchunchun\2006qqgm.exeWin32/TrojanDropper.Agent.BDO 木马已删除XL\Xinl尝试访问文件时发生事件： C:\Program Files\Super Rabbit\MagicSet\SRCK.EXE.
2007-3-12 8:59:29AMON文件C:\WINDOWS\d9w4evxqo0.dllWin32/TrojanDownloader.Agent.BEF 木马已删除 (在下一次重新开启后)XL\Xinl尝试访问文件时发生事件： C:\Program Files\360safe\360Safe.exe.
2007-3-12 8:59:21AMON文件C:\WINDOWS\h2fo4x.dllWin32/TrojanDownloader.Agent.BEF 木马已删除 (在下一次重新开启后)XL\Xinl尝试访问文件时发生事件： C:\Program Files\360safe\360Safe.exe.
2007-3-12 8:55:47AMON文件C:\WINDOWS\system32\system\.setupq\AntiAdwa.tmpa variant of Win32/TrojanDownloader.Agent.TL 木马已隔离 - 已删除程序新建文件时发生事件： C:\temp\9999avps.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-12 8:55:44AMON文件C:\WINDOWS\system32\system\.setupq\winamps.tmpa variant of Win32/TrojanDownloader.Agent.TL 木马已隔离 - 已删除程序新建文件时发生事件： C:\temp\9999avps.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-12 8:55:38AMON文件C:\WINDOWS\system32\system\.setupq\novel.exea variant of Win32/Agent.NEF 木马已隔离 - 已删除程序新建文件时发生事件： C:\temp\9999avps.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-12 8:55:28核心文件c:\windows\d9w4evxqo0.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-12 8:55:28核心文件c:\windows\h2fo4x.dllWin32/TrojanDownloader.Agent.BEF 木马在系统启动时侦测到入侵
2007-3-8 13:19:27AMON文件C:\WINDOWS\system32\system\.setupq\AntiAdwa.tmpa variant of Win32/TrojanDownloader.Agent.TL 木马已隔离 - 已删除程序新建文件时发生事件： C:\DOCUME~1\Xinl\LOCALS~1\Temp\chunchunchun\2006qqgm.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-8 13:19:25AMON文件C:\WINDOWS\system32\system\.setupq\winamps.tmpa variant of Win32/TrojanDownloader.Agent.TL 木马已隔离 - 已删除程序新建文件时发生事件： C:\DOCUME~1\Xinl\LOCALS~1\Temp\chunchunchun\2006qqgm.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-8 13:19:23AMON文件C:\WINDOWS\system32\system\.setupq\novel.exea variant of Win32/Agent.NEF 木马已隔离 - 已删除XL\Xinl程序新建文件时发生事件： C:\DOCUME~1\Xinl\LOCALS~1\Temp\chunchunchun\2006qqgm.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-8 13:16:29AMON文件C:\DOCUME~1\Xinl\LOCALS~1\Temp\chunchunchun\bind_50046.exea variant of Win32/TrojanDownloader.VB.APY 木马已隔离 - 已删除XL\Xinl程序新建文件时发生事件： C:\Documents and Settings\Xinl\桌面\新建文件夹 (3)\book037\book037.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-8 13:16:28AMON文件C:\DOCUME~1\Xinl\LOCALS~1\Temp\chunchunchun\mms_19.exeprobably a variant of Win32/Adware.Boran 应用程序已隔离 - 已删除XL\Xinl程序新建文件时发生事件： C:\Documents and Settings\Xinl\桌面\新建文件夹 (3)\book037\book037.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-3-8 13:16:26AMON文件C:\DOCUME~1\Xinl\LOCALS~1\Temp\chunchunchun\jdmsn01.exea variant of Win32/Agent.NEO 木马已隔离 - 已删除XL\Xinl程序新建文件时发生事件： C:\Documents and Settings\Xinl\桌面\新建文件夹 (3)\book037\book037.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-2-27 8:40:35AMON文件C:\DOCUME~1\Xinl\LOCALS~1\Temp\Coral_Toolbar_Silent.exeWin32/Adware.Toolbar.YokBar 应用程序已隔离 - 已删除XL\Xinl程序新建文件时发生事件： D:\QQDownload\IPQQ06454.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-2-26 9:26:33AMON文件C:\Documents and Settings\Xinl\Local Settings\Temporary Internet Files\Content.IE5\STIV8LMN\open[1].jsJS/TrojanDownloader.Agent.CN 木马已隔离 - 已删除XL\Xinl程序新建文件时发生事件： C:\Program Files\Internet Explorer\iexplore.exe. 文件已被移入隔离区。你可以关闭本窗口。
2007-2-26 9:26:30IMON文件http://59.34.197.239/open.jsJS/TrojanDownloader.Agent.CN 木马联机中止XL\Xinl
2007-2-26 9:26:25AMON文件C:\Documents and Settings\Xinl\Local Settings\Temporary Internet Files\Content.IE5\41QBO5QN\open[1].htmVBS/TrojanDownloader.Psyme.DB 木马XL\Xinl程序新建文件时发生事件： C:\Program Files\Internet Explorer\iexplore.exe. 文件已被移入隔离区。你可以关闭本窗口。

下载 System Repair Engineer，
http://www.kztechs.com/sreng/download.html
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改