瑞星卡卡安全论坛

木马。cmd.exe占内存。篡改网页。
该怎么办？谢谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MAXTHON 2.0)

附件: SREngLOG.log

C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll,这个病毒文件已经被删了,注意清理注册表.

删除这个文件\\C:\DOCUME~1\章建辉\LOCALS~1\Temp\~df5238.tmp如果删不掉,进安全模式删 或用暴力删除工具删.

注意清理host文件表.

C:\WINDOWS\system32\XPSTYL~1\Dock\RKLAUN~1.EXE
C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll
C:\WINDOWS\SYSTEM32\XPSTYLE_THEMEPACKAGE\DOCK\RKLAUNCHER.EXE]
C:\WINDOWS\SYSTEM32\DEVICENOTICE.EXE
请将以上文件以附件形式上传由工程师协助处理或上传多引擎扫描网站，然后根据判断结果进行覆盖或删除操作~~~


C:\Documents and Settings\All Users\「开始」菜单\程序\启动\o(≧v≦)o.lnk （如果C:\WINDOWS\system32\XPSTYL~1\Dock\RKLAUN~1.EXE有毒就删除）


修复host文件
==================================
HOSTS 文件
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 zhax.tese123.info
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
127.0.0.1 www.hoho-3.cn
127.0.0.1 www1.wdswe.com
127.0.0.1 www.wdswe.com
127.0.0.1 txt.hsdee.com
127.0.0.1 tongji.ombb888.cn
127.0.0.1 tongji1.ac5566.cn
127.0.0.1 www.2008.366ent.com
127.0.0.1 www.96vvv.cn
127.0.0.1 www.dsqdasd.cn
127.0.0.1 a1.caiyi8.com
127.0.0.1 www.97gan.com
127.0.0.1 www.97xxoo.com
127.0.0.1 www.97sese.com
127.0.0.1 www.800wyt.com
127.0.0.1 cc.188bt.com
127.0.0.1 188bt.com
127.0.0.1 txt.mojwq.com
127.0.0.1 www.img-o.com
127.0.0.1 www1.img-o.com
127.0.0.1 www.2828hfdy.com
127.0.0.1 cde.2020wyt.com
127.0.0.1 se.2zzxx.com
127.0.0.1 bobo.2zzxx.com
127.0.0.1 d.opqxn.com
127.0.0.1 d.opqxn.com
127.0.0.1 k2008qq.cn
127.0.0.1 www.qqm5m.cn
127.0.0.1 dl.36933.net
127.0.0.1 www.2008.366ent.com
127.0.0.1 333.8585le.com
127.0.0.1 dy.yebali.info
127.0.0.1 www.97gan.com
127.0.0.1 www.97wen.com
127.0.0.1 www.97xxoo.com
127.0.0.1 www.5qqcc.com
127.0.0.1 www.92xxoo.com

俩个没找到哦。


c盘这里的乱码文件夹估计是木马。怎么强制删呢？

附件: 桌面.rar

先将文件上传上来或者上传到多引擎扫描网站扫描后，确认病毒再删除
删除可以使用unlock软件，或者xdel软件，删除

用xdel删除：
C:\DOCUME~1\章建辉\LOCALS~1\Temp\~df5238.tmp
C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll
用sreng清理 host 文件和注册表 Appinit_Dlls 项，以及修复映像劫持

另外楼主是不是装了基于网关的综合反病毒、间谍软件控制工具“eSafe”，如果是那么C:\WINDOWS\SYSTEM32\DEVICENOTICE.EXE 应该正常
C:\WINDOWS\SYSTEM32\XPSTYLE_THEMEPACKAGE\DOCK\RKLAUNCHER.EXE  是一款系统美化工具，楼主是不是也装了，这两个东西就由你自己判断了

LZ，说明一下啊，IFEO标志的不一定是映像劫持，个人觉得，svchost是系统的一个系统服务大项目，不是病毒，那两项，应该是正常的

如果仍旧怀疑，就将该scvhost文件以附件形式上传或者上传到多引擎扫描网站，扫描是否为病毒