瑞星卡卡安全论坛

我的机器前几天中过病毒,现在大部分已经清理好,可是他还有个遗留的东西在我机器内无法找到,电脑启动时过一会儿他会自己产生一个文件放在C:\Documents and Settings\zc\Local Settings\Temp文件夹里,每次的文件名称都不一样,这是刚才出来的文件名:dcac3,没有后缀,都是这一名字类型的文件,时间长了他会破坏我的瑞星杀软监控,改变文件隐藏的注册表属性让我无法看到隐藏文件,找不到产生这个文件的原因,C:\根目录下还会同时产生一个名字叫P的文件,下面上传的是我刚才用卡卡扫描的报告,哪位老大给看一下,怎么处理这个木马,里面那个先在这里谢谢了!我把这个刚产生的文件也打个包发上去.

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CNCDialer; .NET CLR 1.1.4322)

附件: RasProc.txt

附件: dcac3.rar

这两个文件也是刚才我把dcac3.exe删除后又产生的:2a3a4d.exe                29cd4b.exe

附件: 日志.txt

用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html
———————————————————————————————————————
然后使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

这是刚才清理后用SRENG扫描的日志,请看一下,谢谢了大版主!

附件: SREngLOG.log

那些自动产生的EXE文件隔一会儿就会产生,还要访问网络,防火墙每次我都让把他们拦下来,要不然一会儿就出事,有时还会连着产生好几个这样的文件,还得及时结束其进程然后删除,就现在这一会儿就出来了好几个了,我都删了好多了.而且我发现他还能破坏清理助手和SRENG,本来我以前都已经装过的,可是刚才用的时候说被破坏了,又都重装了一次.

这几个项目不认识，你自己去看对应文件属性判断一下
==================================
驱动程序
[membjhr / membjhr][Running/]
  <2 - 系统找不到指定的文件。
><N/A>

[MHDRV / MHDRV][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\mhdrv.sys><N/A>

[WMI_MFC_TPSHOKER_80 / WMI_MFC_TPSHOKER_80][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\nijmjn.sys><N/A>

[qcnili / qcnili][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\qcnili.sys><N/A>

不知道怎么做来处理.qcnili.sys是雅虎3721的文件,nijmijn.sys是driver目录下的一个文件夹,已经刚被我删除,mhdrv.sys在机器上找不到

故障依旧

先下载工具：
windows清理助手下载：http://www.arswp.com/download.html
XDelBox下载：http://www.dodudou.com/down/  打开后选择【原创软件】，下载XDelBox1.6。
清理临时文件工具ATF-Cleaner-cn下载：http://www.qispace.com.cn/attachment.php?fid=34
———————————————————————————————————————
务必断开网络链接后再进行以下操作；
———————————————————————————————————————
使用XDelBox删除以下文件：
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\windows\system32\drivers\qcnili.sys
c:\windows\system32\drivers\nijmjn.sys
c:\windows\system32\drivers\mhdrv.sys
c:\windows\system32\drivers\hostnt.sys
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启进入Windows系统，
然后再按以下步骤操作：
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[qcnili / qcnili]    <\SystemRoot\\SystemRoot\System32\drivers\qcnili.sys>
[WMI_MFC_TPSHOKER_80 / WMI_MFC_TPSHOKER_80]    <\??\C:\WINDOWS\system32\drivers\nijmjn.sys>
[MHDRV / MHDRV]    <\??\C:\WINDOWS\system32\drivers\mhdrv.sys>
[membjhr / membjhr]    <>
[membjhr / membjhr]    <>
[HOSTNT / HOSTNT]    <\??\C:\WINDOWS\system32\drivers\hostnt.sys>
———————————————————————————————————————
使用刚下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
使用刚下载的“Windows清理助手”清理你的系统。
———————————————————————————————————————
3721卸载