木馬基本上就是開機常駐，掃毒才沒辦法刪的乾淨
若能找到方法清除，並把執行檔砍掉，你的系統就會是個乾淨的系統了!!
不見得一定要重灌~

============================


系統中木馬後，可以用微軟所提供的免費

工具將可疑的程序給移除!!

--------------------------------------------------------------------------------


一、Process Explorer：(http://www.microsoft.com/technet ... rocessExplorer.mspx)

這程式的做用，就跟你按Alt+Ctrl+Del所叫出的「工作管理員」裡的「處理程序」是一樣的東西

差別在於，他有更詳細的標示出每個程序的公司等資訊，那這有什麼用勒？若是惡意的木馬程式，他

總不會標示他是誰做的吧!!所以第一步就可以從這邊下手，找出可疑的程序(先找深紫色的程序，通常

木馬程式都是這類型的)，或看company name就能知道那個是有問題的程式了，然後配合第二支的

程式，將一開始就會啟動的木馬程式給移除，並把所執行的檔案都砍掉就可以了!

我也贊成重灌，既然有木馬，
就算你今天掃除了，還是代表您的電腦有安全性問題，
乾脆全部格式化，然後安裝防毒軟體、防火牆、進行Windows Update。
才是根本解決之道.......

先更新病毒庫後
重新開機按F8進"安全模式
全機掃瞄 KIS 6 以上應該可以處理掉

不是無解 而是先進安全模式 清除登錄檔中的開機啟動區 如run ,notift,service等移除即可解除問題 在將explorer.exe 外掛中的程式卸載 就可解除問題

但如果只想重新安裝 那就重裝吧
至於使用windows pe的人 就試試看吧 不要以為單單刪除檔案就可以清除病毒
一但上網捲土重來的機會決對大於一般刪除方式

.......是我的建議
如果沒有啥不可失去的東西
最好是重灌(包括格式化C,D.....碟)
比較省時也可以回到最乾淨的狀態
因為木馬常常都在亂跑
真的要抓完會很麻煩

將檔案送到這分析http://www.virustotal.com/zh-tw

反病毒引擎        版本        最後更新        掃瞄結果
AhnLab-V3        2007.9.5.0        2007.09.06        -
AntiVir        7.6.0.5        2007.09.06        TR/Crypt.NSPM.Gen
Authentium        4.93.8        2007.09.06        -
Avast        4.7.1029.0        2007.09.06        -
AVG        7.5.0.485        2007.09.06        -
BitDefender        7.2        2007.09.06        Packer.Malware.NSAnti.I
CAT-QuickHeal        9.00        2007.09.06        (Suspicious) - DNAScan
ClamAV        0.91.2        2007.09.06        -
DrWeb        4.33        2007.09.06        -
eSafe        7.0.15.0        2007.09.04        suspicious Trojan/Worm
eTrust-Vet        31.1.5114        2007.09.06        Win32/NSAnti
Ewido        4.0        2007.09.06        -
FileAdvisor        1        2007.09.06        -
Fortinet        3.11.0.0        2007.09.06        -
F-Prot        4.3.2.48        2007.09.06        -
F-Secure        6.70.13030.0        2007.09.06        W32/OnlineGames.gen31
Ikarus        T3.1.1.12        2007.09.06        Packer.Malware.NSAnti.I
Kaspersky        4.0.2.24        2007.09.06        -
McAfee        5113        2007.09.05        New Malware.w
Microsoft        1.2803        2007.09.06        -
NOD32v2        2509        2007.09.06        Win32/Pacex
Norman        5.80.02        2007.09.06        W32/OnlineGames.gen31
Panda        9.0.0.4        2007.09.06        Suspicious file
Prevx1        V2        2007.09.06        Generic.Malware
Rising        19.39.32.00        2007.09.06        -
Sophos        4.21.0        2007.09.06        -
Sunbelt        2.2.907.0        2007.09.06        -
Symantec        10        2007.09.06        -
TheHacker        6.1.9.179        2007.09.06        W32/Behav-Heuristic-062
VBA32        3.12.2.4        2007.09.06        -
VirusBuster        4.3.26:9        2007.09.06        -
Webwasher-Gateway        6.0.1        2007.09.06        Trojan.Crypt.NSPM.Gen

附加訊息
File size: 98814 bytes
MD5: da448864a683f35c6ddbaa737dfeef18
SHA1: eba4c01d7e097aeaf440a9af8a4010fdc19116f5
Prevx info: http://fileinfo.prevx.com/filein ... 1822F9E820069BFF725

偵測到
------
狀態        物件
----        ----
未發現: 特洛伊木馬程式 Trojan-Dropper.Win32.Agent.bso        檔案: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bd9.sys
已偵測: riskware Invader        執行程序: C:\WINDOWS\system32\verclsid.exe
未發現: 特洛伊木馬程式 Trojan-Dropper.Win32.Agent.bso        檔案: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\q.sys
未發現: 特洛伊木馬程式 Trojan-Dropper.Win32.Agent.bso        檔案: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\9v.sys
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.Moninet.b        檔案: c:\windows\system32\drivers\avp.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd        檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OJUJ2W0E\ubs[1].exe
已偵測: riskware Invader        執行程序: C:\WINDOWS\explorer.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd        檔案: C:\WINDOWS\system32\ubs.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd        檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GHMB0LQN\ubs[1].exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.Moninet.b        檔案: C:\program files\internet explorer\plugins\820148.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd        檔案: C:\system volume information\_restore{694b6640-e511-45f9-addb-d9a729c9674c}\rp7\a0016646.exe
已刪除: 廣告軟體 not-a-virus:AdWare.Win32.AdAgent.j        檔案: C:\system volume information\_restore{694b6640-e511-45f9-addb-d9a729c9674c}\rp7\a0016668.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.Moninet.b        檔案: C:\system volume information\_restore{694b6640-e511-45f9-addb-d9a729c9674c}\rp7\a0016702.exe
已偵測: riskware Trojan.generic        執行程序: C:\WINDOWS\system32\ubs.exe
已偵測: riskware Invader        執行程序: C:\WINDOWS\Explorer.EXE
未發現: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.caw        檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CJKF8RZ3\ubs[1].exe
已偵測: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.caw        網址: http://www.microsofttw.com/gto/ubs.exe這是病毒別下載
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.caw        檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\9VVHNXJK\ubs[1].exe

每次發作前的徵兆會先啟動C:\WINDOWS\Explorer.EXE
一旦沒拒絕此程序 電腦中就會跑出ubs等的木馬警告
然後電腦裡的執行程序中會增加一個IEExplorer.EXE  (PS 只佔記憶體64K)
已嘗試很多套木馬清除程式  依舊無解   
HELP!!! HELP!!!