瑞星卡卡安全论坛

帮忙了，谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; WPS)

附件: SREngLOG.log

用sreng删除一下启动项:
    <runner1><C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ZGNotify]
    <WinlogonNotify: ZGNotify><MyNotification.dll>  []
    <runner1><; C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310>  [File is missing]
删除一下驱动和对应文件
[MSJDrvr / MSJDrvr][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\MSJDrvr.sys><N/A>
[NAVENG / NAVENG][Running/Manual Start]
  <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20010808.016\NAVENG.SYS><N/A>
[NAVEX15 / NAVEX15][Running/Manual Start]
  <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20010808.016\NAVEX15.SYS><N/A>
删除以下文件(建议用xdebox工具删除,工具使用下载见我签名)
C:\WINDOWS\tgekb.dll
C:\WINDOWS\UsbPnp.dll
C:\WINDOWS\MyNotification.dll
最后用工具清理（WINDOWS清理助手或者超级兔子等） 把能检测到的全选后点清理（删除）

下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp2/arswp2.zip

下载超级兔子魔法设置 8.1
http://nj.onlinedown.net/soft/2636.htm

最后打全系统补丁与应用软件相关补丁，再用杀毒软件（最新的病毒库）全盘查杀一遍!

请注意了Explorer.exe
userinit.exe
ctfmon.exe
的签名有问题

11.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\mynotification.dll
c:\windows\usbpnp.dll
c:\windows\tgekb.dll
d:\downloads\rarext.dll


; c:\windows\mrofinu1001186.exe 61a847b5bbf72813329b39577aff01f0b3e35b6638993f4661aa4ebd86d67c56389b284534f310
c:\windows\mrofinu1001186.exe 61a847b5bbf72813329b39577aff01f0b3e35b6638993f4661aa4ebd86d67c56389b284534f310
c:\program files\联想\联想键盘驱动\tgesrvlogon.exe
c:\windows\system32\drivers\msjdrvr.sys
c:\windows\system32\drivers\bdguard.sys
c:\progra~1\baidu\bar\baidubar.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[WinlogonNotify: ZGNotify]    <MyNotification.dll>
[runner1]    <; C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310>
[runner1]    <C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[TGE CardReader Mgr Host v2 / TGECardReaderMgrHost.2]    <C:\Program Files\联想\联想键盘驱动\TGESrvLogon.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[MSJDrvr / MSJDrvr]    <\??\C:\WINDOWS\system32\drivers\MSJDrvr.sys>
[BdGuard / BdGuard]    <\SystemRoot\System32\drivers\BDGuard.SYS>

    系统修复－－　浏览器加载项之如下项删除：
[百度工具栏]    <C:\PROGRA~1\baidu\bar\baidubar.dll>
    系统修复－－ HOSTS文件－－重置

**************以上分析报告由SREngLog分析助手提供******************

如果是联想键盘TGESrvLogon.exe  c:\windows\usbpnp.dll
c:\windows\tgekb.dll
上传到可疑文件交流