瑞星卡卡安全论坛

SYSTEM32\COM\SERVICES.EXE病毒删除之后出现了
C:\WINDOWS\SYSTEM32\COM\SERVICES.EXE]
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE]
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE]
在用XDelBox1.6和SRENG清除变成了C:\WINDOWS\Temp\5024.exe，
清除了5024.exe之后 隐藏进程[412] C:\WINDOWS\VM_STI.EXE变成了
特殊特权被允许： SeDebugPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
附件是新扫描的日志，情各位大大帮忙看看，多谢了！


原帖：http://forum.ikaka.com/topic.asp?board=40&artid=8417846
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)


附件: 7387122008117202829.txt

删除以下服务
[NetWork Service / nkserv][Stopped/Auto Start]
  <c:\program files\common files\system\serv.exe -system><Microsoft Corporation>
删除以下驱动
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
并删除以下文件
c:\program files\common files\system\serv.exe
C:\WINDOWS\system32\npkcrypt.sys
C:\WINDOWS\system32\npkycryp.sys

【回复“agee”的帖子】
agee：多谢了！我按你说的步骤操作了，不过输入时这两项找不到C:\WINDOWS\system32\npkcrypt.sys
C:\WINDOWS\system32\npkycryp.sys
提示时是无此文件

我重新扫描日志，帮我再看看，谢谢！！

附件: 7387122008117222104.txt