瑞星卡卡安全论坛

文件名：ceidewa9.dll

这个病毒装扮成我声卡驱动文件。


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
这个文件确实是木马，而且杀不掉。

在注册表搜索这个文件得到这个：

项名称:            HKEY_USERS\S-1-5-21-1606980848-839522115-725345543-500\Software\Microsoft\Search Assistant\ACMru\5603
类别名:        <无类别>
最近写入时间:    2008-10-12 - 0:31
值  0
  名称:            000
  类型:            REG_SZ
  数据:            ceidewa9.dll

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 1.1.4322; InfoPath.2; .NET CLR 2.0.50727)

楼主 这个ceidewa9.dll 文件，谷歌搜索居然没有一条信息，你自己不觉得可疑吗？

请确保安装显卡自带的驱动，其他网站下载的可能有偏差。

对不起，是我疏忽了，这个文件冒充我声卡驱动文件。这个文件确实是木马，而且杀不掉。

在注册表搜索这个文件得到这个：

项名称:            HKEY_USERS\S-1-5-21-1606980848-839522115-725345543-500\Software\Microsoft\Search Assistant\ACMru\5603
类别名:        <无类别>
最近写入时间:    2008-10-12 - 0:31
值  0
  名称:            000
  类型:            REG_SZ
  数据:            ceidewa9.dll


在注册表内只搜索到了1个，用瑞星杀了，但是重启后还是自动生成，注册表值删除后，也自动生成。

为便于快速分析，麻烦楼主到这里http://bbs.ikaka.com/showtopic-8536393.aspx
下载SREng 工具 ，扫描并上传一份SRE日志