Backdoor.Win32.SRat.vv 　怎么杀?
Backdoor.Win32.SRat.vv怎么杀?

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

反病毒区贴日志

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

[quote] 原帖由 aaccbbdd 于 2009-1-23 13:00:00 发表
反病毒区贴日志

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\blsf.dll
c:\windows\system32\gjzjzi.dll
c:\windows\system32\onffkf.dll
c:\windows\system32\zyxp.dll
c:\program files\common files\microsoft shared\msinfo\lsass.exe
c:\windows\system32\dntggf.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\jfdses.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\vbsys2.dll
c:\windows\system32\jcmxzypc.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\ljqsz.dll
c:\windows\system32\drivers\atmsig.sys
c:\windows\system32\new.sys
c:\windows\system32\opul.dll
c:\windows\system32\foga.dll
c:\windows\system32\vbmd.dll
c:\windows\system32\njebp.dll
c:\windows\system32\escne.dll
c:\windows\system32\sclea.dll
c:\windows\system32\bpqqy.dll
c:\windows\system32\wkitzw.dll
c:\windows\system32\pixy.dll
c:\windows\system32\skgnja.dll
c:\windows\system32\dqxs.dll
c:\windows\system32\lpiuk.dll
c:\windows\system32\zgzzp.dll
c:\windows\system32\fezrw.dll
c:\windows\system32\zycza.dll
c:\windows\system32\itai.dll
c:\windows\system32\xpwia.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{B63BFF8C-2E25-4CCC-9A01-68807F567AA7}]    <>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <>
[Nice]    <C:\Program Files\Common Files\Microsoft Shared\MSINFO\LSASS.EXE>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}]    <C:\WINDOWS\system32\dntggf.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}]    <C:\WINDOWS\system32\jfdses.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]    <C:\WINDOWS\system32\zsdgff.dll>
[SystemCheck2]    <C:\WINDOWS\System32\vbsys2.dll>
[jcmxzypc.dll]    <C:\WINDOWS\system32\jcmxzypc.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[IFEO[AntiArp.exe]]    <ntsd -d>
[IFEO[filemon.exe]]    <ntsd -d>
[IFEO[filemon.exe]]    <ntsd -d>
[IFEO[GFRing3.exe]]    <ntsd -d>
[IFEO[GFUpd.exe]]    <ntsd -d>
[IFEO[procexp.exe]]    <ntsd -d>
[IFEO[RawCopy.exe]]    <ntsd -d>
[IFEO[regmon.exe]]    <ntsd -d>
[IFEO[safeboxTray.exe]]    <ntsd -d>
[IFEO[RegTool.exe]]    <ntsd -d>
[IFEO[SuperKiller.exe]]    <ntsd -d>
[IFEO[SuperKiller.exe]]    <ntsd -d>
[IFEO[safeboxTray.exe]]    <ntsd -d>
[IFEO[taskmgr.exe]]    <ntsd -d>
[mhs2]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\mhs2.exe>
[myMh2]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\mh2\iexpl0re.EXE>
[myRx3]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\Rxa3\iexp1ore.exe>
[myWl2]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\Wl2\lexplore.exe>
[myZt1]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\Zt1\SVCH0ST.EXE>
[myZt2]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\Zt2\SVCH0ST.EXE>
[myZt3]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\zt3\SVCHQST.EXE>
[rxzs]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\svchost.exe>
[SywlMy]    <; C:\WINDOWS\System32\lexplore.exe>
[SyztMy]    <; C:\WINDOWS\System32\expiorer.exe>
[Wlmy3]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\Wla3\lexpl0re.exe>
[wlzs]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\conime.exe>
[zts2]    <; C:\DOCUME~1\Z\LOCALS~1\Temp\services.exe>

  启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[Clipboard / Templates]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\ljqsz.dll>
    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[atmsig / atmsig]    <\??\C:\WINDOWS\System32\drivers\atmsig.sys>
[New0 / New0]    <\??\C:\WINDOWS\System32\new.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\System32\Opul.dll>
[]    <C:\WINDOWS\System32\Foga.dll>
[]    <C:\WINDOWS\System32\Vbmd.dll>
[]    <C:\WINDOWS\System32\Onffkf.dll>
[]    <C:\WINDOWS\System32\Njebp.dll>
[]    <C:\WINDOWS\System32\Escne.dll>
[]    <C:\WINDOWS\System32\Sclea.dll>
[]    <C:\WINDOWS\System32\Zyxp.dll>
[]    <C:\WINDOWS\System32\Bpqqy.dll>
[]    <C:\WINDOWS\System32\Wkitzw.dll>
[]    <C:\WINDOWS\System32\Pixy.dll>
[]    <C:\WINDOWS\System32\Skgnja.dll>
[]    <C:\WINDOWS\System32\Dqxs.dll>
[]    <C:\WINDOWS\System32\Lpiuk.dll>
[]    <C:\WINDOWS\System32\Zgzzp.dll>
[]    <C:\WINDOWS\System32\Fezrw.dll>
[]    <C:\WINDOWS\System32\Blsf.dll>
[]    <C:\WINDOWS\System32\Zycza.dll>
[]    <C:\WINDOWS\System32\Itai.dll>
[]    <C:\WINDOWS\System32\Xpwia.dll>

启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[Clipboard / Templates]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\ljqsz.dll>
    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[atmsig / atmsig]    <\??\C:\WINDOWS\System32\drivers\atmsig.sys>
[New0 / New0]    <\??\C:\WINDOWS\System32\new.sys>

重启开机按F8进入安全模式删除