今天用XT扫了下，发现如下

左寒

图中的inline HOOK正常么？
第二个截图中的acxs0koy.sys我百度了下，没找到任何结果。。。。貌似有问题。
请大大们帮看看下，给我们这些好学的小白也学习学习。

zdw2041

acxs0koy.sys里面有个0  应该有问题吧

yhjtj

在文件磁盘上点右键搜索该文件，找到他，（如果找不到先回复他的所有钩子）看创建时间及位置，拷贝出来，校验数字签名，剩下的自己看吧

yhjtj

忘记说了，可以发到多引擎扫描上去http://www.virustotal.com/zh-cn/

左寒

原帖由 yhjtj 于 2009-5-8 09:04 发表
在文件磁盘上点右键搜索该文件，找到他，（如果找不到先回复他的所有钩子）看创建时间及位置，拷贝出来，校验数字签名，剩下的自己看吧

谢谢大侠，我按你的步骤去试了下，果然搜索不到那个文件，我试着恢复那几个跟它相关的inline hook，可还是找不着这个文件。
曾经这台电脑上发生过盗号事件（QQ号~），所以极度怀疑已经被人留下了后门。

yhjtj

简单的方法是，1、参考这个帖子，http://bbs.kafan.cn/viewthread.php?tid=459626&extra=&page=1
2、格式化c盘重装，安装高查杀率的杀软并下载其他绿色高查杀率的杀软扫描一下，看下卡饭杀软扫描测试区，喜欢那个就在卡饭搜到并下载安装查杀。
复杂的方法请参照这个http://bbs.kafan.cn/thread-470919-1-1.html
祝好运！

[ 本帖最后由 yhjtj 于 2009-5-8 10:38 编辑 ]

yhjtj

在xt里搜索他的键值，不行试试用狙剑的注册表搜索功能（能够有效反隐形还可以编辑，比xt的要好）找到有关他的键值，锁定位置用xdelbox删除
工具在这里下http://bbs.kafan.cn/thread-236736-1-1.html
也可以试试天琊，在本版下载。

[ 本帖最后由 yhjtj 于 2009-5-8 10:44 编辑 ]

左寒

万分感谢楼上的回贴！我随后又看了一下FSD hook ,汗！！！结果如下——

[ 本帖最后由 左寒 于 2009-5-8 10:53 编辑 ]

左寒

现在系统正常运行，除了打开了一个QQ和一个360的浏览器，我没开其他软件，再问一下大大们，“未知模块”怎么解释？？？！！！

在线等各位解释！

yhjtj

记住要勾选抑制再生，否则可能复发