ＮＴ系统
发现木马群病毒,查杀无效后来论坛求助
我试用过木马群处理程序,但是无效.小雨伞和卡卡图表都消失了
以下是我的扫描日记

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

参考http://bbs.ikaka.com/showtopic-8502100.aspx

下载PE并安装  并下载“费尔强力木马清除助手”  重起进入PE删除以下文件：

c:\windows\system32\msosdrop01.dll
c:\windows\system32\msosdrop00.dll
c:\windows\system32\ffxams.dll
c:\windows\system32\fmbiost.dll
c:\windows\system32\fmsiocps.dll
c:\windows\system32\fmsjhif.dll
c:\windows\system32\hefxxxy.dll
c:\windows\system32\jhrcar.dll
c:\windows\system32\phnrqt.dll
c:\windows\system32\ptshell.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\ticisms.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\yuiabct.dll
c:\windows\system32\yuwvcmoh.dll
c:\windows\system32\zgxfdx.dll
c:\program files\internet explorer\plugins\nt_sys32.sys
c:\windows\system32\mpdcty.dll
c:\windows\system32\msosdrop00.dll
c:\windows\system32\msosdrop01.dll
c:\windows\system32\msosdrop02.dll
c:\windows\yuiabct.exe
c:\windows\fmbiost.exe
c:\windows\ptshell.exe
c:\windows\ticisms.exe
c:\windows\hefxxxy.exe
c:\windows\fmsjhif.exe
c:\windows\msvbhhyo.exe
c:\windows\fmsiocps.exe
c:\windows\system32\svchost.dll
c:\onekey\hanewin.exe
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\temp\tmp8.tmp
c:\documents and settings\administrator\桌面\noname1\winio.sys
c:\windows\temp\tmp19.tmp
c:\windows\system32\drivers\nicomsp2p32.sys
c:\windows\temp\tmp17.tmp
c:\windows\temp\tmp10.tmp
c:\windows\temp\tmp1b.tmp
c:\windows\temp\tmp17.tmp
c:\windows\temp\tmpc.tmp

删完以上文件 记的还要在PE里做一件很重要的事：复制c:\windows\system32\dllcache\文件夹里的services.exe和cdfview.dll 文件全部粘贴到c:\windows\system32\文件夹里提示替换选“是”

这步一定要做好  如果c:\windows\system32\dllcache\里没有备份文件 可以下载附件  解压后复制里面的俩文件粘贴替换
做完后重起

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{398C9B84-4EF7-47B5-9862-DE29543B3C42}] 
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}] 
[{F3A687FE-AFEB-4418-B82C-753093D3A5AD}] 
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] 
[{633BA449-FE3D-4F3D-B8B8-BD8E0C2FBAE6}] 
[{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}] 
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] 
[{4502C140-808F-40B6-8522-4BC4230CAEF2}] 
注意该项[AppInit_DLLs]修改：把<msosdrop00.dll>修改为<>即清空
[yuiabct] 
[fmbiost] 
[ptshell] 
[ticisms] 
[hefxxxy] 
[fmsjhif] 
[bmuslveb] 
[fmsiocps] 

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[IPRIP / IPRIP] 
[DHCP By xyf / DHCPService] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[msfpfis64 / msfpfis64] 
[zftp / zftp] 
[WINIO / WINIO]
[ping / ping] 
[msp2p32 / msp2p32]   
[mnsf / mnsf] 
[mhfp / mhfp] 
[fmsq / fmsq] 
[drop / drop] 
[dohs / dohs] 

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>

全部做完后别忘了下载以下软件清理一次并更新杀毒软件至最新，进行全盘杀毒

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

OK啦,感谢大虾们.以下是我附上的刚扫描的日记,请大家们帮我看看还有问题么.谢谢~

还有一点残留


1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
c:\windows\cinfonmc.exe
c:\windows\hefxxxy.exe
c:\windows\system32\cinfonmc.dll
c:\windows\system32\hefxxxy.dll
c:\windows\ptshell.exe
c:\windows\msvbhhyo.exe
c:\windows\temp\tmp17.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[ptshell] 
[hefxxxy] 
[bmuslveb] 
[cinfonmc] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[mnsf / mnsf]