瑞星卡卡安全论坛

昨天不幸中了群木马，后来在网站上下载windows清理工具清理后，好象正常了。今天早上用sreng扫描发现AppInit_DLLs被赋值ieprot.dll，且无法清除，在注册表里面也无法修改，这里是扫描日志请高手指点

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

附件: 5.28.log

AppInit_DLLs里的ieport.dll是卡卡助手建立的 不用删除


不过你好像还有别的病毒没有删干净

用费尔木马强力清除助手删除以下文件，勾选“抑制文件再生”
http://dl.filseclab.com/down/powerrmv.zip
C:\DOCUME~1\bobo\LOCALS~1\Temp\~wxp2ins.609.tmp
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys

sreng启动项目，注册表，删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FuckJacks.exe]
    <IFEO[FuckJacks.exe]><egomoo1.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo1_.exe]
    <IFEO[Logo1_.exe]><egomoo1.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSO.exe]
    <IFEO[OSO.exe]><egomoo1.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundl132.exe]
    <IFEO[rundl132.exe]><egomoo1.exe>  [N/A]
sreng-〉启动项目-〉服务-〉驱动程序，删除
[Atixeve2750 / Atixeve2750][Stopped/Manual Start]
  <\??\C:\DOCUME~1\bobo\LOCALS~1\Temp\~wxp2ins.609.tmp><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>

AppInit_DLLs正常

前面2项，找好久都没找到 只把
sreng-〉启动项目-〉服务-〉驱动程序
[Atixeve2750 / Atixeve2750][Stopped/Manual Start]
  <\??\C:\DOCUME~1\bobo\LOCALS~1\Temp\~wxp2ins.609.tmp><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
找到并删除了，
再次扫描的日志怎么发不了

这个是再次扫描的日志 请帮忙看看

附件: 5.28a.log

清理助手真是好东西

恭喜楼主了
日志看不出什么了

系统无异常就行了