V12003518.EPE(TROJAN.PWS.QQPASS)
上QQ时记得把密码看好

我用搜索的方式找出这个文件，直接扔回收站删除，但是我重启机器进来后，再搜索这个文件还在！请问，我要怎么才能彻底清除它呢？

C:\WINDOWS\system32\V12003518.EPE

这个是不是和你的外挂有关哦

老大好！

话分两头说：

1、我是有用外挂的，那是奇迹“天下外挂”，而且不是现在才用，只要玩奇迹游戏就开这个外挂的，我现在的杀毒软件是卡巴斯基，只要用它查毒都能发现“天下外挂”有木马，为了游戏方便，一直以来采取的是“忽略”方式放过的；

2、再就是这些扰人的垃圾广告页面是从昨天才开始出现的，至今还是当我打开一个网页的时候，就变换页面的弹出来（不知道这个广告群到底有多少个垃圾页面）。

================

再附上卡卡扫描结果：

Logfile of Kaka v2. 0. 0. 9 Scan Module v2. 0. 0. 1
Scan saved at 21:12:56, on 2006-07-08
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


Running processes:
[SMSS.EXE]
CommandLine =

[CSRSS.EXE]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

[WINLOGON.EXE]
CommandLine = winlogon.exe

[SERVICES.EXE]
CommandLine = C:\WINDOWS\system32\services.exe

[LSASS.EXE]
CommandLine = C:\WINDOWS\system32\lsass.exe

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k LocalService

[EXPLORER.EXE]
CommandLine = C:\WINDOWS\Explorer.EXE

[SPOOLSV.EXE]
CommandLine = C:\WINDOWS\system32\spoolsv.exe

[SOUNDMAN.EXE]
CommandLine = "C:\WINDOWS\SOUNDMAN.EXE"

[realsched.exe]
CommandLine = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

[Update.exe]
CommandLine = "C:\Program Files\starTV\update.exe"

[CTFMON.EXE]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"

[NVSVC32.EXE]
CommandLine = C:\WINDOWS\system32\nvsvc32.exe

[WDFMGR.EXE]
CommandLine = C:\WINDOWS\system32\wdfmgr.exe

[ALG.EXE]
CommandLine = C:\WINDOWS\System32\alg.exe

[IEXPLORE.EXE]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k imgsvc

[ACDSee32.exe]
CommandLine = "F:\原D盘\ACDSee32\ACDSee32.exe"

[KkScan.exe]
CommandLine = "C:\Program Files\Rising\KakaToolBar\KkScan.exe"

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 127.0.0.1      localhost
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [update] C:\Program Files\starTV\update.exe
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O4 - Global Startup: CIBA2000.lnk = C:\Program Files\KINGSOFT\XDICT\xdict32.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O16 - DPF: {35DC0C9A-C471-4910-8724-BA5514967E2F} (ERADMStart.StartControl) - http://www.im.tv/bbstart.ocx
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.im.tv/IMTVPlayer.ocx
O16 - DPF: {5932517A-3326-4439-A708-1C98EDB5C549} (Downloader Class) - file://C:\Documents and Settings\All Users\Application Data\Share Helper\Cast\GGS\da3697f14a\js\iMopDl.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F4D8B4B-3F22-46C7-852C-4D3A17A9C4CD}: NameServer = 61.139.2.69 202.98.96.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: kavsvc (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - "C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"

================

卡巴斯基对“天下外挂”的处理（见图）

在古狗上搜索过V12003518.EPE，说这个文件是病毒，为了系统的安全，我希望彻底灭了它，请大侠们指点该怎么做？谢谢！

那个东东，我也搜过，但没找到有用的。
我也是第一次见过，知道的，不应比你还多。
为了系统安全，你应该让卡巴杀掉所有提示的病毒。
也许这样，那个文件就不见了。

现在已经证明这个V12003518.EPE跟我的游戏外挂有关系，待我不玩游戏的时候，用杀毒软件PK掉它。

但是，我上网遭遇的恶心广告还是继续跳出来，到现在已经收集到10个了，真是不胜其扰啊！

大侠们请用你们高超的技能与博爱的胸襟，帮助我们，阿门！

在这里公布这些恶意网站（不断更新中）：

h**p://www.800300200.com/
h**p://www.biz178.cn/
h**p://my.chinahr.com/
h**p://www.redbaby.com.cn/
h**p://itv.mop.com/
h**p://music.mop.com/
h**p://tt.mop.com/
h**p://888.sooe.net.cn/
h**p://cd.renren.com/
h**p://211.100.33.109/

☆☆☆☆☆☆☆☆☆☆

就是这些垃圾网站不请自来，令人反感，希望尽早给它们送终！

可能这些网站跟你的外挂了有关系

致 我无邪兄：

我那木马病毒是跟外挂有联系（目前外挂论坛，大家有讨论），我打算今晚就停用外挂（一个游戏角色还差一点就达到需要的等级），并清除掉相关文件。

我现在仍然遭受到不良网页的滋扰，还不敢轻易断定这些东西跟外挂有关，因为外挂已经用了很久的时间。当然这次外挂的更新版本是2006年7月4日，或许又有些关系吧？但愿是这样，反正今晚就灭了外挂，再看看恶意广告是否消失掉！

有新的情况，我再来请教，谢谢！