瑞星卡卡安全论坛

已经用最新的瑞星的08杀过毒了,但每过一段时间电脑又中毒了,不知道为什么.还有,有时游览网页的时候用alt tab发现还有一个micrsoft corp的东西,但是桌面不显示,进程里有一个进程7a3a1.exe,不知道是什么进程.下面是日志,请帮忙看看.



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 99076920071214224406.txt

【回复“镜花水月1982”的帖子】

1、用XDELBOX删除下列文件：
C:\WINDOWS\Vistadrive\vsdrv.exe
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\rznplb.exe
C:\WINDOWS\391231M.exe
C:\WINDOWS\391231L.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\system32\SysTdSvr.dll
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system32\792405C6.EX
C:\WINDOWS\System32\DRIVERS\rffshe47.sys
C:\WINDOWS\system32\b7a1.dl
C:\WINDOWS\system32\792405C6.EXE
C:\WINDOWS\system32\DRIVERS\rffshe47.sys
C:\Autorun.inf
C:\soS.Exe
D:\Autorun.inf
D:\soS.Exe
E:\Autorun.inf
E:\soS.Exe
F:\Autorun.inf
F:\soS.Exe


2、重启后，用SRENG删除下列注册表内容：

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Vistadrv><C:\WINDOWS\Vistadrive\vsdrv.exe>  [N/A]
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  [N/A]
    <NVDispDrv><C:\WINDOWS\rznplb.exe>  [N/A]
    <WinSysM><C:\WINDOWS\391231M.exe>  [N/A]
    <WinSysW><C:\WINDOWS\391231L.exe>  [N/A]
    <Sysmppcvppp><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\SysTdSvr.dll",Start>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32    ><LYLeador.exe>  [N/A]
服务
[286EE121 / 286EE121][Stopped/Auto Start]
  <C:\WINDOWS\system32\792405C6.EXE -k><N/A>
驱动程序

[rffshe4 / rffshe47][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\rffshe47.sys><N/A>
浏览器加载项
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\b7a1.dll, >
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\b7a1.dll, >
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>

用sreng
删除启动项目=>注册表
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  [N/A]
    <NVDispDrv><C:\WINDOWS\rznplb.exe>  [N/A]
    <WinSysM><C:\WINDOWS\391231M.exe>  [N/A]
    <WinSysW><C:\WINDOWS\391231L.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <Sysmppcvppp><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\SysTdSvr.dll",Start>  [N/A]

删除启动项目=>服务
[286EE121 / 286EE121][Stopped/Auto Start]
  <C:\WINDOWS\system32\792405C6.EXE -k><N/A>
[ms_2fax / ms_2fax][Running/Auto Start]
  <C:\WINDOWS\system32\7a3a1.exe><Microsoft Corporation>

删除系统修复=>浏览器加载项
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\b7a1.dll, >
[]
  {9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>

重启,删除
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\rznplb.exe
C:\WINDOWS\391231M.exe
C:\WINDOWS\391231L.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\system32\SysTdSvr.dll
C:\WINDOWS\system32\792405C6.EXE
C:\WINDOWS\system32\7a3a1.exe
C:\WINDOWS\system32\b7a1.dll
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
X:\Autorun.inf
X:\soS.Exe

X = C D E F 盘

建议安全模式操作..

操作完建议使用杀软查杀..

大部分问题都解决了,但还是有一个问题,看网页的时候用Alt+Tab组合键发现有个叫Microsoft corp.3的程序运行 ,看看网页时一下跳掉,感觉像是有人用ALT+TAB切换掉 又切换回来一样,任务管理器的应用程序里又看不到有进程什么的,下面是新日志


附件: 99076920071215131001.txt

换2.5版本的SRENG扫日志来。

驱动和浏览器加载项那里，还有残余的。

新的日志,请帮忙看看,我感觉好象是恶意软件.

附件: 99076920071215171642.txt