瑞星卡卡安全论坛

一台windows2003 sp2的服务器，中毒了。采取了很多办法都没有搞定，特来求助。
系统的症状如下：
1.只要重启系统就自动还原重启之前的系统，由于该问题导致删除病毒后只要重启就白费；
2.如果运行一个安全软件 如xuetr，系统就会弹出一个提示框，提示是否加载xuetr的驱动；
3.用杀软查杀报告有犇牛病毒；

已经使用的方法：
1.采用各种急救箱进行查杀，查到很多病毒，提示重启，重启后症状如故；
2.采用手动杀掉了跟杀软杀掉的软件一样的文件和服务器，重启还是不行；
3.采用xuetr检测mbr报告没有问题；
4.采用diskgren修复了mbr文件；

这个机器上有 Oracel/Apache/QQ拼音/QQ软件/360杀毒/360安全卫士/360浏览器/.
现在定位问题的文件有：
  C:\WINDOWS\help\scvhost.exe
  C:\WINDOWS\wordsa.exe
  C:\WINDOWS\system32\rgfxse.exe
  C:\WINDOWS\Debug\svchost.exe
  C:\WINDOWS\System32\Mybfipwon.psd
  C:\WINDOWS\system32\wininitc.exe
 
现在的问题是 只要把对应的文件和服务删除后，重启机器就还原。



下面是服务器的sreng2日志，请各位帮忙给看看。今天搞了一天，也没搞定这个还原的功能，请各位给提提意见，能给出解决方案~~~再次表示感谢~~


解决方案如下：





用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; LBBROWSER)

附件: sreng2.txt

是原本就有还原呢？

还是中毒后才有还原？？

一堆360软件在那，没能帮你护住这服务器？

是中毒后才有的还原，中毒之前没有。并且C盘变成了这个图标

我删除了这些文件：



。

还有这些服务



注册表删除了如下：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJMIG7.1"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
"Debugger"="egomoo.exe"


各位帮忙看看，这机器还能怎么让他停止还原呢~~~~，停止还原了 病毒就好办了
这个机器的mbr我备份了下：

附件: mbr_20130615161902.rar (2013-6-16 14:40:03, 521 B)
该附件被下载次数 551

其中一个文件

附件: Mybfipwon.zip (2013-6-16 14:52:49, 94.58 K)
该附件被下载次数 581

我联系不到工程师呢

得星期一才能有人了

好的。谢谢天月~~~

将QQ号通过站内短消息发送给我，远程看一下。

这个已经确定是病毒自带NTFS磁盘还原的驱动加载后恶搞了

这玩意病毒也玩这个保护自身了:kaka6: :kaka11: