瑞星卡卡安全论坛

前段时间已经发过这个帖子，不过斑竹们都放假了，问题还没有根本解决，所以再次请斑竹帮忙。现象：每次启动的时候进程会自动加载IEXPLORE.EXE，过会会变成两个。直接无法删除进程，电脑在使用过程中经常会有IE页面一闪而过。病毒文件有这么三个：qa8yz0g.sys(c:\winnt\system32\driver下），uqskp4.dll和vdmzto85.dll(c:\winnt\system32下），用冰刃只能删除其中的vdmzto85.dll一个文件。通过断网处理，病毒文件已经不存在了，但IE进程还在，老是一闪一闪的，每次IE出来过后，鼠标就不见了。附件为没有打开任何IE页面的日志。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727)


附件: 10057242008220132403.txt

帮你顶下

先下载工具：
windows清理助手下载：http://www.arswp.com/download.html
费尔木马强力清除助手下载：http://dl.filseclab.com/down/powerrmv.zip
清理临时文件工具ATF-Cleaner-cn下载：http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用费尔木马强力清除助手删除以下文件：
使用方法：打开费尔木马强力清除助手，选择“清除，并抑制文件再次生成”，复制下面分隔线中的文件路径，粘贴到费尔木马强力清除助手的文件名框中，点击“开始”。
———————————————————————————————————————
c:\winnt\system32\msuidetect.dll
c:\winnt\system32\systemwdihost.dll
c:\documents and settings\all users\「开始」菜单\程序\启动\word.lnk
C:\WINNT\system32\ridiap080110.exe
c:\winnt\system32\systemwdihost.dll
c:\winnt\system32\msuidetect.dll
c:\winnt\system32\drivers\zwdu.sys
c:\winnt\system32\drivers\vdmzto85.sys
c:\winnt\system32\drivers\soxi.sys
c:\winnt\system32\drivers\gha6.sys
c:\winnt\system32\drivers\eract.sys
———————————————————————————————————————
这些文件可能已经被修改：
c:\winnt\system32\dmserver.dll
c:\winnt\system32\mobsync.exe
c:\winnt\explorer.exe
c:\winnt\system32\userinit.exe
c:\winnt\system32\internat.exe
c:\winnt\system32\dmadmin.exe
可以去c:\winnt\system32\dllcache文件夹里找这些文件，或到其他版本相同的2000系统下复制这些文件，把他们拷到对应目录下覆盖。有些文件替换前需要先结束其进程，按“Ctrl+Alt+Del”键打开任务管理器，结束进程，在任务管理器上点【文件】-【新建任务】-【浏览】，将文件复制对应的文件夹里替换。替换dmadmin.exe和dmserver.dll文件时可能还需要暂时停止[Logical Disk Manager Administrative Service]服务。
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【启动文件夹】，将以下项删除：
[word]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\word.lnk>
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【Win32服务应用程序】，将以下项删除：
[System Diagnostic Host / SystemWdiHost]    <C:\WINNT\System32\svchost.exe -k SystemWdiHost-->c:\winnt\system32\systemwdihost.dll>
[Microsoft Interactive Services Detection / MSUIDetect]    <C:\WINNT\System32\svchost.exe -k MSUIDetect-->c:\winnt\system32\msuidetect.dll>
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[zwd / zwdu]    <\SystemRoot\System32\DRIVERS\zwdu.sys>
[vdmzto8 / vdmzto85]    <\SystemRoot\System32\DRIVERS\vdmzto85.sys>
[sox / soxi]    <\SystemRoot\System32\DRIVERS\soxi.sys>
[gha6 / gha6]    <\??\C:\WINNT\system32\drivers\gha6.sys>
[erac / eract]    <\SystemRoot\System32\DRIVERS\eract.sys>
———————————————————————————————————————
使用刚下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】
———————————————————————————————————————
使用刚下载的“Windows清理助手”清理你的系统。