RootKit.Win32.Agent,Trojan.PSW.Win32.GameOnline,Trojan.Win32.Mnless等2

RootKit.Win32.Agent,Trojan.PSW.Win32.GameOnline,Trojan.Win32.Mnless等2

endurer 原创
2007-12-08 第1版

这段时间事情多，没时间远程协助了，让网友进行如下处理：

重启电脑到带网络连接的安全模式，
用 WinRAR删除 E:/autorun.inf 和 E:/AutoRun.exe。很奇怪，这个AutoRun.exe只在E盘。
下载 DrWeb CureIt! 扫描，网友说一打开浏览器，就出现出错提示，IE卡死了：

用傲游也不行。
让他把联众游戏卸载了。
把DrWeb CureIt! 下回来扫描发现3个病毒，删除。

到 http://endurer.ys168.com 下载 瑞星杀毒助手Aide4Rav，使用瑞星在线免费扫描，发现一堆：
/---
2007-12-7 12:40:19　瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/drivers/wxptdi.sys Trojan.Win32.Mnless.zyq
C:/WINDOWS/system32/3721.exe Trojan.Win32.VB.baz
C:/WINDOWS/system32/sidjfzy.dll Trojan.PSW.Win32.GameOnline.zzl
C:/WINDOWS/system32/Com/comrecfg.exe Trojan.Win32.Mnless.zgl
C:/WINDOWS/system32/kvdxjma.dll Trojan.PSW.Win32.XYOnline.vi
C:/WINDOWS/system32/rsztmpm.dll Trojan.PSW.Win32.GameOnline.zyp
C:/WINDOWS/system32/kawdfzy.dll Trojan.PSW.Win32.AskTao.ey
C:/WINDOWS/system32/okmhazy.dll Trojan.PSW.Win32.XYOnline.uh
C:/WINDOWS/system32/avwghmn.dll Trojan.PSW.Win32.SunOnline.in
C:/WINDOWS/system32/swrcezc.dll Trojan.PSW.Win32.LMir.yzd
C:/WINDOWS/system32/avzxkmn.dll Trojan.PSW.Win32.GameOnline.zye
C:/WINDOWS/system32/avwlgmn.dll Trojan.PSW.Win32.SunOnline.ie
C:/WINDOWS/system32/GenProtect.dll Trojan.PSW.Win32.GameOnline.asx
C:/WINDOWS/system32/SHQMANGR.DLL Trojan.PSW.Win32.GameOnline.zyl
c:/windows/system32/msdeg32.dll>>upack0.34 Trojan.PSW.Win32.GameOnline.aro
c:/windows/system32/lymangr.dll>>upack0.34 Trojan.PSW.Win32.GameOnline.aro
c:/windows/system32/avwlgst.exe>>upack0.34 Trojan.PSW.Win32.GameOnline.auv
c:/windows/system32/gdrxjhi32.dll>>upack0.34 Trojan.PSW.Win32.YBOnline.ck
c:/windows/system32/swrceac.exe>>upack0.34 Trojan.PSW.Win32.LMir.yzd
c:/windows/system32/avzxkst.exe>>upack0.34 Trojan.PSW.Win32.GameOnline.zye
c:/windows/system32/kvdxskis.exe>>upack0.34 Trojan.PSW.Win32.GameOnline.zzz
c:/windows/system32/avwghst.exe>>upack0.34 Trojan.PSW.Win32.SunOnline.in
c:/windows/system32/okmhaaz.exe>>upack0.34 Trojan.PSW.Win32.XYOnline.uh
c:/windows/system32/kawdfaz.exe>>upack0.34 Trojan.PSW.Win32.XYOnline.ty
c:/windows/system32/rsztmsp.exe>>upack0.34 Trojan.PSW.Win32.GameOnline.awz
c:/windows/system32/sidjfaz.exe>>upack0.34 Trojan.PSW.Win32.GameOL.a
c:/windows/system32/kvdxjis.exe>>upack0.34 Trojan.PSW.Win32.XYOnline.vk
c:/windows/system32/lyloader.exe>>upack0.39 Trojan.PSW.Win32.GameOnline.aro
c:/windows/system32/explorer.exe>>mian007 Packer.Mian007
c:/windows/genprotect.exe>>upack0.32 Trojan.PSW.Win32.GameOnline.asx
C:/WINDOWS/RESSDT.SYS RootKit.Win32.Agent.nmj
---/
用瑞星杀毒助手删除……

到 http://endurer.ys168.com 下载 HijackThis修复 F2, O4, O21项。

下载、安装瑞星卡卡安全助手，先在[基本功能]—＞[查杀恶意及流氓软件]，扫描并清理流氓软件
然后切换到[高级功能]：
在 [插件管理及卸载] 里把  O24 项卸载掉。
在[系统启用项管理]里，在左边点击[登录项]，在右边找到 O4 项对应的项目，右击，从弹出的菜单里选择删除；在左边点击[服务项]和[驱动]，在右边找到 O23 项对应的项目，右击，从弹出的菜单里选择删除。

还有一项：
/---
O23 - 服务: sfrem02 (FrontLine Drivers Auto Removal (v2)) - C:/WINDOWS/system32/sfrem02.exe svc(自动)
---/
似乎是电脑游戏的东东，没让网友处理。

找到并删除 log 中用红色标记的文件。
由于网友的电脑没装杀毒软件，就让他下载安装瑞星2008免费版安装，装完后按提示重启……
不料过了一会，网友遇到了怪事，并传来了坏消息：