中午不小心中招了，开机进程比以前多了俩realplay.exe程序。连接上网后开始出现木马。说明一下，我的机器C盘有还原卡保护的。木马可能在其他盘。

附件: SREngLOG.log (2008-6-9 16:12:57, 40.44 K)
该附件被下载次数 141

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ )

参考:这里：http://bbs.ikaka.com/showtopic-8502100.aspx
下载并安装PE
并在这里官网下载费尔木马强力清除助手
http://dl.filseclab.com/down/powerrmv.zip

重起选择进入PE，做以下两件事：

1.用费尔助手选中“清除，并抑制文件再次生成”后删除以下文件：

c:\windows\system32\msoscqet00.dll
c:\windows\system32\msosfasq00.dll
c:\windows\system32\anittio.dll
c:\windows\system32\bincdwsa.dll
c:\windows\system32\dbhlp32.dll
c:\windows\system32\fmschif.dll
c:\windows\system32\hkpejuwx.dll
c:\windows\system32\juejwcx.dll
c:\windows\system32\nbnwewd.dll
c:\windows\system32\pppppp.dll
c:\windows\system32\ptshell.dll
c:\windows\system32\sysdajchv.dll
c:\windows\system32\xcvaver0.dll
c:\windows\system32\xcvaver1.dll
c:\windows\system32\ytewcxzsw.dll
c:\windows\system32\eeeeee.dll
c:\windows\nbnwewd.exe
c:\windows\juejwcx.exe
c:\windows\ptshell.exe
c:\windows\ojecsxgj.exe
c:\windows\fmschif.exe
c:\windows\dbhlp32.exe
c:\windows\yuiabct.exe
c:\windows\hefcndy.exe
c:\windows\dionpis.exe
c:\windows\anittio.exe
c:\windows\ytewcxzsw.exe
c:\windows\system32\autoip\autoip.exe
c:\windows\system32\sysdajchv.dll
c:\windows\system32\msosmhap01.dll
c:\windows\system32\nicozftp00.dll
c:\windows\system32\msosfasq00.dll
c:\windows\system32\pppppp.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\ytewcxzsw.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msoscqet00.dll
c:\windows\system32\msosmhap02.dll
c:\windows\system32\nicozftp01.dll
c:\windows\system32\msosfasq01.dll
c:\windows\system32\pppppp.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\ytewcxzsw.dll
c:\windows\system32\msosmnsf01.dll
c:\windows\system32\msoscqet01.dll
c:\windows\system32\msosmhap00.dll
c:\windows\system32\nicozftp02.dll
c:\windows\system32\msosfasq02.dll
c:\windows\system32\pppppp.dll
c:\windows\system32\msosdohs02.dll
c:\windows\system32\ytewcxzsw.dll
c:\windows\system32\msosmnsf02.dll
c:\windows\system32\msoscqet02.dll
c:\docume~1\admini~1\locals~1\temp\tmp15.tmp
c:\docume~1\admini~1\locals~1\temp\tmp13.tmp
c:\docume~1\admini~1\locals~1\temp\tmp11.tmp
c:\docume~1\admini~1\locals~1\temp\tmpd.tmp
c:\docume~1\admini~1\locals~1\temp\tmpb.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\admini~1\locals~1\temp\tmp3.tmp
c:\windows\system32\drivers\msosmsp2p32.sys

2.复制c:\windows\system32\dllcache\explorer.exe文件粘贴到c:\windows\文件夹内，提示替换时选“是”

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{C3D16072-2E1B-450B-B843-50EADDC8EB63}] 
[nbnwewd] 
[juejwcx] 
[ptshell] 
[ookjfesc] 
[fmschif] 
[dbhlp32] 
[yuiabct] 
[hefcndy] 
[dionpis] 
[anittio] 
[ytewcxzsw]
[autoip]   
注意该项[AppInit_DLLs]修改：把<SysDaJcHv.dll,msosmhap01.dll,nicozftp00.dll,msosfasq00.dll,pppppp.dll,msosdohs00.dll,ytewcxzsw.dll,msosmnsf00.dll,msoscqet00.dll>修改为<>即清空

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[drop / drop] 
[cqet / cqet] 
[mnsf / mnsf] 
[fasq / fasq] 
[dohs / dohs] 
[msfpfis64 / msfpfis64]   
[zftp / zftp] 
[msp2p32 / msp2p32] 


做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

太谢谢了 我先去试试

回版主 按你的方法试了，那些exe文件.驱动程序.注册表启动文件全删了，可开机又新生成。而且是一连上网就出现的。

我现在纳闷的是我C盘有还原卡的，开机C盘很干净。这木马到底在哪，可以从源上直接删掉吗？

应该在斷網下删除，用XDELBOX选择抑制再生

删除先关闭还原卡

还有修复HOST表看看

在安全模式
更新杀毒软件至最新进行全盘杀毒一次