瑞星卡卡安全论坛

哭死。。电脑中毒了。。杀了还有。。。

    Malicious Code(恶意代码）这个恶意代码在（千千静听官网中的）

病毒名称：Trojan Win32 Mnless.zkb
          Trojan PSW.Win32.WLOnline.jjv
          Trojan Win32 Mnless.zlb

求大侠帮忙救救我～～谢谢。。



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 73467320071212141705.txt

...
报告里看不出什么来，给你顶一下吧

真的有病毒啊。。55555

病毒杀不掉啊。。

QQ都不敢上了。。

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.PSW.Win32.GameOL.dt
病毒： Trojan.PSW.Win32.GameOL.bs
病毒： Trojan.PSW.Win32.GameOL.bh
病毒： Trojan.PSW.Win32.ZhuXian.ey
病毒： Trojan.PSW.Win32.GameOL.bt
病毒： Trojan.PSW.Win32.QQSG.ba
病毒： Trojan.PSW.Win32.ZeroOnline.ct
病毒： Trojan.PSW.Win32.SO2Online.x
病毒： Trojan.PSW.Win32.WLOnline.jjy
病毒： Trojan.PSW.Win32.GameOL.bq
病毒： Trojan.PSW.Win32.GameOL.bp
病毒： RootKit.Win32.Mnless.bh 

瑞星软件版本：20.22.12（最新版本）
第一次查杀3个木马。。现在来12个了。。

日志里看不出什么问题……

请高手帮你看看吧～

[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
  <system32\DRIVERS\comint32.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\pcidisk.sys><N/A>
[TesSafe / TesSafe][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\TesSafe.sys><TENCENT>
[c:\program files\rising\rfw\ijt_base.dll]  [Beijing Rising Technology Co., Ltd., 7.0.0.9]
    [c:\program files\rising\rfw\olemon.dll] 


这个是病毒？？

[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcidisk.sys><N/A>

这两项在网上查了一下，应该是病毒的驱动文件。
（又长见识了～～）

最后那个驱动应该是QQ某个组件的驱动，在日志中比较常见，应该不是病毒

下面两个文件是瑞星的组件，不是病毒

引用:

【shjarthur的贴子】[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start] <system32\DRIVERS\comint32.sys><N/A> [PciHardDisk / PciHardDisk][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\pcidisk.sys><N/A> 这两项在网上查了一下，应该是病毒的驱动文件。 （又长见识了～～） 最后那个驱动应该是QQ某个组件的驱动，在日志中比较常见，应该不是病毒 下面两个文件是瑞星的组件，不是病毒 ………………

谢谢你告诉我。。


附件: 73467320071212151014.jpg

图上的文件位于系统还原中，右键“我的电脑”——属性——系统还原——打上“在所有驱动器上关闭系统还原”的勾，清空系统还原。（还原点已经受到感染，不用保留。系统还原的内容用普通的删除是删除不了的）

怎么删掉这些文件？？？

附件: 73467320071212152137.jpg

引用:

【shjarthur的贴子】图上的文件位于系统还原中，右键“我的电脑”——属性——系统还原——打上“在所有驱动器上关闭系统还原”的勾，清空系统还原。（还原点已经受到感染，不用保留。系统还原的内容用普通的删除是删除不了的） ………………

清空系统还原？？怎么清？？我按照去弄。。

附件: 73467320071212152626.jpg

打上勾，按确定就可以了。系统会自动把系统还原点清空。

引用:

【shjarthur的贴子】打上勾，按确定就可以了。系统会自动把系统还原点清空。 ………………

真的删掉了。。谢谢你。。要不是我还真得养那些可怕不能直接删病毒了。。

还请教一下shjarthur 大侠。。还原了之后。。什么病毒都没有了？？
以后遇到同样这事。。也用这方法可以吗？》？

不知道所指的还原是哪种类型的还原？？
如果是Ghost的还原，那系统分区只要还原镜像没有病毒，就没有病毒。但除了系统分区，其它的分区是保持原样的，所以要注意其它分区的病毒。在进行过Ghost还原后，不要打开其它任何分区也不要运行在其它分区上的任何程序，立刻升级杀毒软件，如果没有的话，下一个试用版的也行，进行一次全盘杀毒。

如果是系统还原，那基本没什么作用……所以一般情况下，系统还原都可以关闭。

引用:

【shjarthur的贴子】不知道所指的还原是哪种类型的还原？？ 如果是Ghost的还原，那系统分区只要还原镜像没有病毒，就没有病毒。但除了系统分区，其它的分区是保持原样的，所以要注意其它分区的病毒。在进行过Ghost还原后，不要打开其它任何分区也不要运行在其它分区上的任何程序，立刻升级杀毒软件，如果没有的话，下一个试用版的也行，进行一次全盘杀毒。 如果是系统还原，那基本没什么作用……所以一般情况下，系统还原都可以关闭。 ………………

哦哦。。谢谢指教、、Ghost没用过。。网上很难找到安全软件下载。。
那么系统还原没什么严重后果。。那我可放心用了。。
现在打开网页好慢！！

[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcidisk.sys><N/A>
网上找了下。。说这机器狗。。在电脑找不到这驱动文件。。
但日志还是会有显示。。
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>

用SREng把[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]这项改成disable

如果要彻底删除的话，用XDELBOX，下载和使用方法见帖：
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
添加：
C:\WINDOWS\system32\drivers\pcidisk.sys
c:\windows\system32\DRIVERS\comint32.sys
右键点“立即重启删除”
XDELBOX会自动重启删除以上项目。
然后再用SREng删除以上驱动

引用:

【shjarthur的贴子】用SREng把[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]这项改成disable 如果要彻底删除的话，用XDELBOX，下载和使用方法见帖： http://forum.ikaka.com/topic.asp?board=28&artid=8381032 添加： C:\WINDOWS\system32\drivers\pcidisk.sys c:\windows\system32\DRIVERS\comint32.sys 右键点“立即重启删除” XDELBOX会自动重启删除以上项目。 然后再用SREng删除以上驱动 ………………

恩恩。。我照做了。。很奇怪。。
我添加那2项了。。
文件不存在（软件不支持删除文件夹）。。明明就在日志里。。却说不存在。。

日志里显示的只是注册表项。

并不能真实的显示文件是否存在。

引用:

【天月来了的贴子】日志里显示的只是注册表项。 并不能真实的显示文件是否存在。 ………………

原来是这样啊。。迷糊。。难怪我找不到。。
谢谢了。。

病毒已杀掉了。。谢谢2位大侠的帮助。。