卡巴杀毒OHZMRX64.DLL后系统重启

显示全部楼层 · 发表于 2007-6-12 10:33:48

昨天新装的系统，共装了主板驱动、迅雷、IE7,REALONE 10,后装上卡巴网络套装上网激活并进行20分钟的升级。升级后卡巴要求重起，重起机后系统大概运行3分钟后，提示中毒，中毒种类为QQ HELPER木马，路径为：C:\WINDOWS\system32\OHZMRX64.DLL和C:\WINDOWS\system32\drivers\OHZMRX64.SYS。（察看病毒文件属性是微软的东东，带有版本号），杀毒后卡巴提示重起后删除，然后卡巴就自动关闭了，接着系统重起。
重起后卡巴依然在进入系统后3分钟后报毒。
哪位能告诉我OHZMRX64.DLL是不是毒？如果是该如何删除？（我用QQ自带的QQ医生扫描过没有报毒）

昨天晚上回家按照mds的留言使用冰刃，连续2次强制删除C:\WINDOWS\system32\drivers\OHZMRX64.SYS，第一次删除后系统黑屏重起（我估计这次黑屏是卡巴也已经锁定了OHZMRX64.SYS，第二次删除后没有异常现象正常重起后用卡巴一扫没有发现病毒。（2次都没有找到OHZMRX64.DLL，估计是被卡巴删除了）
睡觉时，因为要通宵下BT，嫌开卡巴硬盘声大，所以把卡巴关闭了，只开了江民的防火墙（昨天回家后现安装的地，版本升级到了最新）。到了早上发现进程多了几个进程，开启卡巴马上查毒，提示中毒，中毒种类为QQ HELPER木马，路径为：C:\WINDOWS\system32\ZHIZDX22.DLL和C:\WINDOWS\system32\drivers\ZHIZDX22.SYS。我晕！郁闷了！难道这是最近说的“随意8位组”病毒。由于昨晚我重新把卡巴设置为清除、删除，所以没法上传病毒样本了。
另外问一下我怎么一开卡巴，电驴就由高ID变为低ID?

[ 本帖最后由 smty 于 2007-6-13 12:05 编辑 ]

显示全部楼层 · 发表于 2007-6-12 10:36:54

估计是哦~~~ dll文件没有这么奇怪名字的
估计它有防杀功能~~并且带sys驱动保护
用著名的那个ssreng2扫个报告出来敲瞧才晓得了~~~

显示全部楼层 · 发表于 2007-6-12 10:57:35

用冰刃删除OHZMRX64.DLL和OHZMRX64.sys!后清理注册表!

显示全部楼层 · 发表于 2007-6-12 11:17:23

XP 没这东东。

显示全部楼层 · 发表于 2007-6-13 12:11:16

补充下，难道江民防火墙防不住这种毒，还是根本就没删干净

显示全部楼层 · 发表于 2007-6-13 12:22:16

KIS下将电驴设置为HIGHT ID的方法如下:
http://bbs.kafan.cn/viewthread.p ... A8%B0%CD%2B%2B%2BBT

关于“随意8位组”病毒你可以看下此帖:
http://bbs.kafan.cn/viewthread.php?tid=88745&page=1&extra

不行可以用sre扫个报告上来!

显示全部楼层 · 发表于 2007-6-13 12:30:15

原帖由 mds 于 2007-6-13 12:22 发表
KIS下将电驴设置为HIGHT ID的方法如下:
http://bbs.kafan.cn/viewthread.php?tid=16340&highlight=%BF%A8%B0%CD%2B%2B%2BBT

关于“随意8位组”病毒你可以看下此帖:
http://bbs.kafan.cn/viewthread.php?t ...

再次谢谢mds的帮助，我估计要重装系统了（虽然现在还无法十分肯定中的是“八位数组”），等下班到了家在研究研究。

卡巴杀毒OHZMRX64.DLL后系统重启

回复 #5 smty 的帖子