昨晚上网发现有木马，然后发现瑞星的服务被关了，重新启动服务，但有个服务启动不了
rising.realtime.monitor一启动就自动关闭。然后我就全盘杀毒，杀了几十个，还是不行
发现一些新文件shapro.dat,删除，后来我重新启动（我不该重新启动的），瑞星被破坏了，服务关闭，瑞星保护启动不了，瑞星也无法修复，卸载，下了个机器狗，AV等专杀DubaTool_AV_Killer60，安全模式断网运行，先提示有8749，然后win32.troj.onlinegamet.82153杀不了，只删除了部分别的名称的木马.现在我瑞星被破坏了无法有效运行，也不能修复，卸载，DubaTool_AV_Killer60也不能彻底清除木马。我该怎么办！！请大家帮忙
我网上搜了一下win32.troj.onlinegamet.82153好象只在毒霸论坛里出现，也没有具体有用的方法。
serng扫描报告：
[CODE]

2008-03-20,10:47:57

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{50632D5C-B71B-4ba0-B012-3DC6F15C011B}><C:\WINDOWS\system32\Setup\en_1072.bin>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
    <IFEO[ctfmon.exe]><SoundMan.exe>  []
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><; C:\WINDOWS\system32\梦幻水~1.SCR>  []

==================================
启动文件夹
N/A

==================================
服务
[Help and Support / helpsvc][Stopped/Disabled]
  <C:\WINDOWS\system32\interne.exe-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><Microsoft Corporation>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
  <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
  <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

==================================
驱动程序
贴不下了，放附件里了。请大家帮忙

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

C:\WINDOWS\popo.exe这个是你的什么？？？？？？

我添加在删除文件信息你，你自己选择了。

C:\WINDOWS\popo.exe
——————————————————————————————————————————————
你只有用Xdelbox这个工具去删除这些文件。
Xdelbox下载：http://www.dodudou.com/down/里面的“原创软件文件夹”下载那个1.6版本的。
下载后
解压所有文件到一个文件夹,（一定要解压出来运行，不要懒）运行xdelbox前请拔掉插在电脑上的所有移动硬盘、U盘、MP3等。
将下面的文件信息全部复制，然后打开Xdelbox,（打开后，不要好奇点这Xdelbox玩）直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

C:\WINDOWS\system32\Setup\en_1072.bin
C:\WINDOWS\system32\drivers\cnprov.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp61.tmp
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp12.tmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys
C:\WINDOWS\system32\eohsom.dll
C:\WINDOWS\system32\tsqc.dll
C:\WINDOWS\system32\pahzij.dll
C:\WINDOWS\system32\kiluw.dll
C:\WINDOWS\system32\oaijihzeuyouhz.dll
C:\WINDOWS\system32\jemnaw.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\laixuhz.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\sve.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\bchib.dll
C:\WINDOWS\system32\tzm.dll
C:\WINDOWS\system32\xptyj.dll
C:\WINDOWS\SoundMan.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\SHAProc.dat
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\rzysdhbx.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\popo.exe

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
此时不要进行任何操作
之后会自动重启进入正常模式
进入系统后，再做下面的：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{50632D5C-B71B-4ba0-B012-3DC6F15C011B}><C:\WINDOWS\system32\Setup\en_1072.bin>  [N/A]
    <IFEO[ctfmon.exe]><SoundMan.exe>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[cnprov / cnprov][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\cnprov.sys><N/A>

[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp><N/A>

[drop / drop][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp61.tmp><N/A>

[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>

[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp12.tmp><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys, N/A>
[]
  {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys, N/A>

————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

下载卡卡助手，清理你那系统。

记得打打系统漏洞补丁

清空IE缓存，清空临时文件夹。

从进程里的那多病毒模块看，系统里可能还有什么东西日志未能正确扫描出来，你弄完后，一定记得再扫个操作完以后的新日志来。

非常感谢你的热心帮助！！
已按照你说的做了，瑞星已正常，但还没有全盘杀毒（文件太多，时间太长，先回复）
扫描了sreng报告，贴下面了
能再帮助我回答几个小问题嘛？
1.rising.realtime.monitor服务还是一启动就关闭，开不了
2.我这次中了什么招阿？我一发现瑞星被关闭了，赶紧断网，重新运行瑞星，未果，重新运行瑞星服务，可以，但rising.realtime.monitor服务不行，接着全盘杀毒，杀了几十个
然后找了一些病毒文件shapro等删除了，但rising.realtime.monitor服务还是不行，我估计要糟了，果然一重起，瑞星崩溃了
3.win32.troj.onlinegamet.82153是什么样的木马，我没找到相关资料。我下载的机器狗，av终结者DubaTool_AV_Killer60杀不了它
4.嵌如的线程可以结束吗？怎么结束掉？

再次感谢你花费了宝贵的时间来帮我，谢谢！！

呵呵！！！！

动手能力不错嘛

日志看不出什么了。

杀毒软件的问题，你可以选择修复或重装。

系统无异常，就行了

至于病毒信息嘛，你自己去百度看看去吧。会有一些说明的。

日志看了，之前的DD没了

建议修复下瑞星

win32.troj.onlinegamet.82153是什么样的木马

一个盗号的木马。

4.嵌如的线程可以结束吗？怎么结束掉？
用冰刃可以结束掉

55
毒杀完了，瑞星也修复过了，运行起来感觉也没问题了
但rising.realtime.monitor服务还是启动不了！！
版主你没告诉我中了什么招，你要我糊里糊涂再中招吗！

http://bbs.54master.com/viewthread.php?tid=17675
先看这个

修复瑞星或者重新装

察看下你的瑞星设置，然后再看看时间是否正常

天月说的很对，这是瑞星的问题，系统没事就ok，重新装下沙软就ok

引用:

【luhuabai的贴子】55 毒杀完了，瑞星也修复过了，运行起来感觉也没问题了 但rising.realtime.monitor服务还是启动不了！！ 版主你没告诉我中了什么招，你要我糊里糊涂再中招吗！ ………………

但rising.realtime.monitor服务还是启动不了！！

说了重装瑞星解决此问题~



版主你没告诉我中了什么招，你要我糊里糊涂再中招吗！

从你日志看看，中的是木马下载器~
POPO.EXE是什么东西？
上网不要乱点~尤其是有些吸引人的广告或者连接
别人用过的U盘不要乱插