电脑中了读。瑞星第一次杀死了，第二次还存在。请高手帮我出出主意。



1。扫描类型：  自动防护 扫描
事件：  发现威胁！
威胁： Trojan Horse
文件：  C:\WINDOWS\system32\bcup.exe
位置：  C:\WINDOWS\system32
计算机：  FOUNDER-8ISKMYQ
用户：  Owner
采用的操作：  清除 失败 : 隔离 失败 : 拒绝访问
发现的日期： 2005年7月19日  21:03:14

(2005-07-19 20:47:55)  lulu
扫描类型：  手动 扫描
事件：  发现威胁！
威胁： Backdoor.Graybird.M
文件：  C:\System Volume Information\_restore{F5C0D512-7ADC-4B04-80D9-40619E0CF8EA}\RP58\A0046918.DLL
位置：  隔离区
计算机：  FOUNDER-8ISKMYQ
用户：  Owner
采用的操作：  隔离 成功
发现的日期： 2005年7月19日  20:47:22
 
(2005-07-19 20:39:42)  lulu
扫描类型：  手动 扫描
事件：  发现威胁！
威胁： Backdoor.Graybird
文件：  C:\WINDOWS\lcrss.DLL
位置：  隔离区
计算机：  FOUNDER-8ISKMYQ
用户：  Owner
采用的操作：  隔离 成功
发现的日期： 2005年7月19日  20:39:25

(2005-07-19 20:38:24)  lulu
扫描类型：  手动 扫描
事件：  发现威胁！
威胁： Trojan Horse
文件：  C:\WINDOWS\system32\bcup.exe
位置：  C:\WINDOWS\system32
计算机：  FOUNDER-8ISKMYQ
用户：  Owner
采用的操作：  清除 失败 : 隔离 失败
发现的日期： 2005年7月19日  20:35:55
  (2005-07-19 20:36:33)  lulu
扫描类型：  手动 扫描
事件：  发现威胁！
威胁： Trojan Horse
文件：  C:\WINDOWS\system32\bcup.exe
位置：  C:\WINDOWS\system32
计算机：  FOUNDER-8ISKMYQ
用户：  Owner
采用的操作：  清除 失败 : 隔离 失败
发现的日期： 2005年7月19日  20:35:55
  (2005-07-19 20:36:00)  lulu
扫描类型：  自动防护 扫描
事件：  发现威胁！
威胁： Backdoor.Graybird.M
文件：  C:\WINDOWS\LCRSS_HOOK.DLL
位置：  C:\WINDOWS
计算机：  FOUNDER-8ISKMYQ
用户：  Owner
采用的操作：  清除 失败 : 隔离 失败 : 删除 成功 : 拒绝访问
发现的日期： 2005年7月19日  20:35:12
 
 

【转帖】手工彻底清除各种顽固性 Trojan Horse 木马的方法

原创: 费尔安全实验室
日期: 2005/06/08

值得一用 

许多电脑用户会经常遇到自己的防毒软件报告发现 Trojan Horse 这种病毒但却无法清除和隔离它的情况， 或者是在清除后不久它又出现了，让人非常苦恼。这时该怎么办呢？

其实 Trojan Horse 是某些防毒软件对木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan Horse 木马的方法：

使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名，您需要先准确的记录下这个文件名。比如：如果防毒软件提示 C:\Windows\hello.dll 是 Trojan Horse，则记下 C:\Windows\hello.dll 这个名子。这里需要注意文件名一定要记准确，因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)->svchost.exe(正常)、Expl0rer.exe(木马)->Explorer.exe(正常)、intrenat.exe / internet.exe(木马)->internat.exe(正常)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的文件清除掉，那就麻烦了；
暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描；
下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；
释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll，那么这时就输入它；
按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序会继续提示是否确定要清除它，仍然选“是”；
之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件，其中会包含这个木马的样本文件，如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。
最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。