瑞星卡卡安全论坛

这是超级巡警的防御日至。
还有机子变的很卡..不知道是什么原因.
如果有问题的话，还有需要怎么修复的话，请请教，。先谢谢了。

2008-01-24 19:49:22    C:\WINDOWS\system32\drivers\etc\HOSTS    被修改
时间    监控对象    行为描述
2008-01-24 21:28:20    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run    创建了值: "Anti-Spy Tools"    注册表启动项目，发现此处被修改要留心是否是后门木马。
2008-01-24 21:29:29    HKEY_CLASSES_ROOT\txtfile\shell\open\command    "Default" 被修改. 修改前值:NOTEPAD.EXE %1    修改后值:%SystemRoot%\system32\NOTEPAD.EXE %1.    文件关联变动，如果不是你自己的修改，请注意是否是后门木马。

机子变得会卡，开网站变很慢。。下面是进程和SRENG的扫描附件。
不知道有问题没。，先谢谢了。不好意思。麻烦了。









附件: 10070002008124214808.txt

第一条没问题！！


按后面我的猜测！



Win32.Troj.QQGame.b
病毒别名：Trojan-PSW.Win32.QQGame.b[AVP]
处理时间：
威胁级别：★★
中文名称：
病毒类型：木马
影响系统：Win9x / WinNT
病毒行为:
这是一个窃取QQ游戏的帐号、密码、密码保护资料等信息的木马病毒。病毒将自身复制到系统目录并改名为“NOTEDAD.EXE”，与记事本程序非常相似；然后修改文本文件（*.txt）、批处理文件（*.bat）、注册表文件（*.Reg）、INI文件（*.ini）、DBT文件（*.dbt）关联到病毒程序；每当用户打开这类文件的时候，病毒就悄悄运行了。病毒加载启动项目，颇具迷惑性的是，病毒不直接将自己添加到病毒启动项，而是用了一个巧妙的办法，通过文件关联来间接启动病毒程序。病毒冒充qq游戏窃取游戏帐号、密码、密码保护资料等信息。病毒到预定的网址下载配置文件，然后下载配置文件中指定的文件并运行（下载的是病毒win32.Hack.Gamet），并将窃取的密码信息发送到指定邮箱（病毒内置了邮箱地址，配置文件中也包含邮箱地址）。

1.将自身复制为System32\NOTEDAD.EXE。

2.修改注册表，使得文本文件（*.txt）、批处理文件（*.bat）、注册表文件（*.Reg）、INI文件（*.ini）、DBT文件（*.dbt）都关联到病毒程序，每当用户打开这类文件的时候，病毒就悄悄运行了。

HKEY_CLASSES_ROOT\txtfile\shell\open\command
@="NOTEDAD.EXE %1"

HKEY_CLASSES_ROOT\batfile\shell\open\command
@="NOTEDAD.EXE %1"

HKEY_CLASSES_ROOT\inifile\shell\open\command
@="NOTEDAD.EXE %1"

HKEY_CLASSES_ROOT\regfile\shell\open\command
@="NOTEDAD.EXE %1"

HKEY_CLASSES_ROOT\.dbt
@="DBTFILE"

HKEY_CLASSES_ROOT\DBTFILE
@=""

HKEY_CLASSES_ROOT\DBTFILE\shell
@=""

HKEY_CLASSES_ROOT\DBTFILE\shell\open
@=""

HKEY_CLASSES_ROOT\DBTFILE\shell\open\command
@="NOTEDAD.EXE %1"

添加启动项，因为DBT文件已经关联到病毒程序，所以实际上是启动了病毒程序。
KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
"IESet"="IExplorer.dll .dbt"

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"

3.冒充腾讯公司的QQ游戏，窃取用户的qq游戏号码（有些是qq号码）、游戏密码、游戏币、密码保护资料等信息。

4.下载网络上的配置文件，包括邮件地址、文件下载地址等，病毒根据配置信息下载网络文件（win32.Hack.Gamet病毒）到本地运行，并将窃取的qq游戏相关的密码资料发送到指定邮箱。

【回复“AQzzzQA”的帖子】


。。，你是在介绍吧。，。

驱动程序：
[bootdrv / bootdrv][Stopped/Boot Start]
  <\SystemRoot\System32\Drivers\bootdrv.sys><N/A> 
日志中没看出大问题来 

建议下载windows清理助手恶意软件
http://www.arswp.com/download/arswp/arswp2.rar

杀毒软件开一个就好了

还有个这个不认识：

C:\WINDOWS\system32\wzscapi.dll

浏览器进程里插入的一个模块。自己去看看文件去。

楼上的大哥。
听不懂意思耶。是什么问题阿
我是菜鸟。不好意思