瑞星卡卡安全论坛

中了木马群然后看http://bbs.ikaka.com/showtopic-8504511.aspx.杀了一下午总算搞定...系统文件被改..回复了一次系统文件但是不知道回复完没..所有带安全插件的地方密码都无法输入...如支付宝(重新装了安全插件卡卡也没免疫插件)..淘宝(使用普通模式能登入,,安全模式显示密码错误)QQ(下载了最新版本重装还是不行)等.具体状况为在密码输入框内输入了密码(键盘输入和XP自带的软键盘输入都试过)提示你没有输入密码..或者密码错误.工行网银登录时输入了密码按确认提示密码至少应该4位(我输入了6位密码)估计可能是木马拦截了密码.W清理工具,卡卡,木马克星,,瑞星等查了N次都查不出来..谁知道该怎么解决.

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59  from: http://bsalsa.com/ ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; TheWorld)

把这个文件删了就行了C:\windows\system32\drivers\rspp.sys

没有效果....删了RSPP.SYS.还是一样

还有人能说说怎么弄嘛...谢谢

我那贴不是说了，还得扫描日志打扫残余嘛

扫sreng日志发这论坛来
下载新sreng2.6版工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=405754（点右键菜单“目标另存为”下载）

1 下载的是压缩包，必须解压缩（建议直接解压到系统windows文件夹里）
2 运行sreng***.exe
3 选择主界面左边的：智能扫描=》扫描=》保存报告（必须保存）

然后直接将日志文件以附件的形式发这论坛来。
点击：我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了。

（注意：sreng工具的“入口点错误”提示和那个关于<appinit_dlls>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

sreng工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

扫描的传来了...那个补丁已经打了.

附件: SREngLOG.rar

那位有空帮帮忙.郁闷死了..网络银行和淘宝不能用好不方便啊

日志目前还在看
不过粗看一下，rspp这个驱动依然存在
[rspp / rspp][Running/System Start]
  <\??\C:\WINDOWS1\system32\Drivers\Rspp.sys><N/A>
这项如果不删除，会造成QQ，网银输入问题
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
日志看完了

启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DrvAnti.exe]
    <IFEO[DrvAnti.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFRing3.exe]
    <IFEO[GFRing3.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.exe]
    <IFEO[GFUpd.exe]><ntsd -d>  [N/A]
360的还原保护器（网上对这三个东西评价似乎不是很好……），如果是你通过软件屏蔽的，可以不管。否则建议修复。

==================================
驱动程序
[qhrcrb / qhrcrb][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\qhrcrb.sys><N/A>
[rspp / rspp][Running/System Start]
  <\??\C:\WINDOWS1\system32\Drivers\Rspp.sys><N/A>
[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS1\system32\drivers\Xprotector.sys><N/A>
用SREng删除以上三项，下载冰刃删除对应文件

==================================
HOSTS 文件
202.75.214.200 go.it608.com
这个项目如果不是你自己加的，建议删除这条

还有这几个是什么呢？
==================================
浏览器加载项
[System Link]
  {04699E3B-1CD1-4479-B171-DAF8CA8518DF} <C:\WINDOWS1\system32\bdsl2.dll, SysLink2>

[NMJTransX Control]
  {6FC19219-C47E-4880-9A79-D218A1C374F9} <C:\WINDOWS1\DOWNLO~1\NMJTRA~1.OCX, plenus>

[System Link]
  {04699E3B-1CD1-4479-B171-DAF8CA8518DF} <C:\WINDOWS1\system32\bdsl2.dll, SysLink2>

[Web Browser Applet Control]
  {08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\WINDOWS1\system32\msjava.dll, Microsoft Corporation>

[NMJTransX Control]
  {6FC19219-C47E-4880-9A79-D218A1C374F9} <C:\WINDOWS1\DOWNLO~1\NMJTRA~1.OCX, plenus>

[BDBHOSL2.CBHOSL2]
  {B3A8699C-A04B-4E73-B983-369DE4AC23ED} <C:\WINDOWS1\system32\bhosl2.dll, bhosl2>