瑞星卡卡安全论坛

我使用的是瑞新最新版20.73.40的，杀毒杀出Backdoor.Win32.RemoteABC.fkm，每次清除成功后重启电脑后又会出现！求助怎么解决这个病毒？非常感谢！atoven110@163.com

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

瑞星升级到最新版本，之后断网杀毒。
第一次杀毒发现有病毒，需要重启动计算机再杀第二遍，如果第二遍没病毒了，说明病毒已经清除干净，如果再次感染，是从外接传播进来的，需要做好防护。
如果第二遍查杀还是有病毒， 说明该病毒是以目前版本杀毒软件无法清除的，需要到瑞星网站下载瑞星听诊器，听诊器下载地址为：http://dl.rising.com.cn/DownLoadInfo/VirusTools_More.shtml。在该计算机扫描后上报日志，日志上报地址为：http://mailcenter.rising.com.cn/index.shtml

病毒路径和瑞星处理状态是什么

查出病毒情况是这样的：



我在安全模式下又查不到！急救啊！

高手请指点啊！

指点怎么也得给份日志看看
瑞星的内存杀毒首屈一指
但是
病毒免杀过了瑞星的文件杀毒
:default2:
病根没去呀:default2:

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

非常感谢您的关注，我已经按照您说的步骤做了，附件里面有报告和日志！谢谢您！

附件: 桌面.rar

杀毒之后，多出这一个注册表值
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{1B0A105E-5FB9-4507-835D-68794062C367}

[nvidia / nvidia][Stopped/Auto Start]这个值变成<C:\WINDOWS\system32\scredir.exe><Twain Working Group>

    [C:\WINDOWS\system32\PLHAJPXU.dat]  [Microsoft Corporation, 7.00.6000.16705 (vista_gdr.080618-1506)]在杀毒软件杀掉病毒之后，这个文件就没有掉了...

946 *  入口点错误：NtQuerySystemInformation (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：NtCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003E57A5)
947 *  入口点错误：NtTerminateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：NtCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003E5945)
948 *  入口点错误：ZwTerminateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：NtLoadDriver (危险等级: 高,  被下面模块所HOOK: 0x003E6095)
949 *  入口点错误：RegEnumKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：NtSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003E5A15)
950 *  入口点错误：RegEnumKeyExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：NtWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003E5875)
951 *  入口点错误：EnumServicesStatusA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：ZwCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003E57A5)
952 *  入口点错误：EnumServicesStatusW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：ZwCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003E5945)
953 *  入口点错误：FindNextFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：ZwSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003E5A15)
954 *  入口点错误：FindNextFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误：ZwWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003E5875)
955 *  入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x010C1FFD)
    *  入口点错误：CreateServiceA (危险等级: 高,  被下面模块所HOOK: 0x003E5D55)
956 *  入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x010C20E5)
    *  入口点错误：CreateServiceW (危险等级: 高,  被下面模块所HOOK: 0x003E5E25)
    !> 入口点错误：LoadLibraryA (危险等级: 高,  被下面模块所HOOK: 0x003E6A55)
    !> 入口点错误：LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: 0x003E563D)
    !> 入口点错误：CreateFileW (危险等级: 高,  被下面模块所HOOK: 0x003E6575)
    !> 入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x003E6985)
    !> 入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x003E67E5)




我也顺便把对比过的日志上传到论坛，希望对解决该病毒有所帮助...(对比结果只是文本文件，无毒）

附件: 对比结果.rar

SREng-    启动项目 －－ 服务－－ win32服务程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[lop / lop][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k lop-->%SystemRoot%\System32\pbmkgu.dll><N/A>

C:\WINDOWS\System32\pbmkgu.dll
发到可疑文件交流区

我按照您说的操作后还是会出现那个病毒啊！我把日志再发一次吧！这个是重新扫描的！

附件: 桌面.rar

<Mouse Suite 98 Daemon><ICO.EXE>  [N/A]
什么东东启动项？

这个是什么的服务？
[nvidia / nvidia][Stopped/Auto Start]
  <C:\WINDOWS\system32\scredir.exe><Twain Working Group>

禁用该服务试试
[DCOM Launcher / Launcher][Stopped/Auto Start]
  <C:\Program Files\Windows Media Player\PQl.exe><BaiDu Group>

谢谢，按照您的操作步骤已经解决了！非常感谢！