瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 使用正版瑞星,却杀不了Trojan.PSW.Win32.GameOL.nxl, 向斑竹及高手求助
handbomb - 2008-6-7 12:19:00
病毒名称:Trojan.PSW.Win32.GameOL.nxl

查杀后显示: 重新启动计算机后删除,可重起后删除不了.把瑞星绿色伞伞给关闭了(瑞星咋这么没用呢?),奋斗几个小时了,不成了,请瑞星斑竹及高手帮忙!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;  Embedded Web Browser from: http://bsalsa.com/; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
handbomb - 2008-6-7 13:19:00
我看到瑞星病毒库里有这个病毒,就是杀不掉, 希望斑竹出面帮忙!
天月来了 - 2008-6-7 14:33:00
详细病毒文件名和路径

扫SRENG日志发这论坛来
下载SRENG2.6版:http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

还有这补丁打了么?
http://bbs.ikaka.com/showtopic-8509685.aspx
handbomb - 2008-6-7 15:05:00
这里也贴一下,斑竹请帮忙!

附件: SREngLOG.log
handbomb - 2008-6-7 15:09:00
斑竹,接下来咋办?病毒仍然在!
天月来了 - 2008-6-7 15:14:00
我签名处木马群,清理去

清理完再扫个最新2.6版的SRENG日志来打扫残余
炎日小雨 - 2008-6-7 15:59:00
我的也是一样啊
handbomb - 2008-6-7 16:17:00
斑竹, 别发火, 你说的不够详细, 你不能指望每个瑞星都是电脑高手. 不然瑞星也没有市场了!

现在清理助手已经说没有可疑进程了, 瑞星伞也打开了.

重新扫描日志见附件,主要摘录如下: 好象还有问题, 斑竹请帮忙!


进程特权扫描
特殊特权被允许: SeDebugPrivilege [PID = 3680, C:\PROGRAM FILES\RISING\ANTISPYWARE\RUNIEP.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3680, C:\PROGRAM FILES\RISING\ANTISPYWARE\RUNIEP.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 4032, C:\PROGRAM FILES\LENOVO\ENERGYCUT\UTILTY.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 4032, C:\PROGRAM FILES\LENOVO\ENERGYCUT\UTILTY.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 4060, C:\PROGRAM FILES\LENOVO\ENERGYCUT\ENERGYCUT.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 4060, C:\PROGRAM FILES\LENOVO\ENERGYCUT\ENERGYCUT.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 292, C:\PROGRAM FILES\GEMPLUS\GEMSAFE LIBRARIES\BIN\REGTOOL.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 292, C:\PROGRAM FILES\GEMPLUS\GEMSAFE LIBRARIES\BIN\REGTOOL.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 2420, C:\PROGRAM FILES\KINGSOFT\POWERWORD 2003\XDICT.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2420, C:\PROGRAM FILES\KINGSOFT\POWERWORD 2003\XDICT.EXE]
==================================
API HOOK
入口点错误:NtCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003D4305)
入口点错误:NtWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003D43A5)
入口点错误:ZwCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003D4305)
入口点错误:ZwWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003D43A5)

附件: SREngLOG.log
天月来了 - 2008-6-7 16:22:00
没发火啊

我哪发火了?

我搁这等你回新日志呢。

等我看看,不急噢。
handbomb - 2008-6-7 16:24:00
斑竹啊,先谢了.

我这可是后半夜4点半,明天要干活,不能好这破电脑,没有办法用.好象病毒已经删除了不少系统文件,C盘剩余空间越来越大. 我着急啊, 我是在北美出差. 破病毒搞我一宿没睡觉.
天月来了 - 2008-6-7 16:28:00
打扫残余吧
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <yuibbct><C:\WINDOWS\yuibbct.exe>  [File is missing]
    <ytewcxzsw><C:\WINDOWS\ytewcxzsw.exe>  [File is missing]
    <xchlvrqi><C:\WINDOWS\clriufao.exe>  [File is missing]
    <fewqickd><C:\WINDOWS\fewqickd.exe>  [File is missing]
    <kvonreboot><C:\WINDOWS\system32\360Kill.bat>  [File is missing]
    <kcomc><kcomc32.exe>  [N/A]
    <{d6763cab-b46e-4f7f-8347-6f098a83a164}><C:\WINDOWS\system32\MMKAFNFW1097.dll>  [File is missing]
    <{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll>  [File is missing]
    <{18e64250-19a8-4d10-828f-30e101a22291}><C:\WINDOWS\system32\MMBAIKOK1092.dll>  [File is missing]
    <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll>  [File is missing]
    <{8c3dd05d-a6a1-4cb5-a714-94be3c3b4cd0}><C:\WINDOWS\system32\MMHADPQG1091.dll>  [File is missing]
    <{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}><C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys>  [File is missing]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[Hdv32 / Hdv32][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\Hdv32_c.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys, N/A>
[]
  {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys, N/A>

————————————————————————————————————
再重启电脑,反复检查,操作的结果,
升级杀毒软件至最新版本全盘杀毒。
记得打打系统漏洞补丁

系统无异常就行了。
天月来了 - 2008-6-7 16:29:00


你后半夜4点半???

还北美的??????


这补丁很重要噢
http://bbs.ikaka.com/showtopic-8509685.aspx
handbomb - 2008-6-7 16:44:00
斑竹,按你要求删除了,再检查次,谢谢!
handbomb - 2008-6-7 16:53:00
又扫描了次,还是一样,按斑竹的意思,删了,可最后一个删除不了.

浏览器加载项
[]
  {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys, N/A>
[]
  {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys, N/A>

这个不能删除,  补丁已经打了!

斑竹有空再帮着看看,谢了!

附件: SREngLOG.log
天月来了 - 2008-6-7 16:58:00
嘻嘻

你刚才做了什么事,让你觉得那项目没删除呢???

日志已经看不到了啊

系统无异常,就可以了。

忙工作去吧。:default6:
handbomb - 2008-6-7 16:59:00
忙睡觉去了!:default6:

谢了哈!:default71:
天月来了 - 2008-6-7 16:59:00
日志显示2008-06-07,04:51:24

难道你真还没睡觉???

:default2:
笑看人生nv - 2008-6-8 16:52:00


引用:
原帖由 天月来了 于 2008-6-7 14:33:00 发表
详细病毒文件名和路径

扫SRENG日志发这论坛来
下载SRENG2.6版:http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报


附件: SREngLOG.log
超哥741 - 2008-6-8 19:58:00
我也中了  看了以后还是不会杀怎么办???
焊枪宝宝 - 2008-6-15 13:11:00
班主,还是不懂啊
kblu - 2008-6-15 16:50:00
Trojan.PSW.Win32.GameOL.nxl 病毒就是adobe flash play漏洞造成的,打http://bbs.ikaka.com/showtopic-8509685.aspx  补丁,从网上下载windows清理助手,扫描,之后就ok了!
1
查看完整版本: 使用正版瑞星,却杀不了Trojan.PSW.Win32.GameOL.nxl, 向斑竹及高手求助
© 2000 - 2026 Rising Corp. Ltd.