瑞星卡卡安全论坛
鱼儿上岸了 - 2005-7-18 21:25:00
我电脑要搜索的是不是rdriv.sys啊?我怎么找不到呢?
而且DllCompare在XP下用不了,在98下才可以哦(PS:还好我家是双系统)
baohe - 2005-7-18 21:50:00
| 引用: |
【鱼儿上岸了的贴子】我电脑要搜索的是不是rdriv.sys啊?我怎么找不到呢?
而且DllCompare在XP下用不了,在98下才可以哦(PS:还好我家是双系统)
........................... |
双系统就更省事了。如果你是在XP系统染的毒,启动到98,不用借助其它工具,按杀软提示的路径就能找到并删除病毒文件。
天天泡泡 - 2005-7-18 21:54:00
还是不太懂Dllcompare的用法
baohe - 2005-7-18 22:06:00
| 引用: |
【天天泡泡的贴子】还是不太懂Dllcompare的用法
........................... |
就是“选择扫描路径”、“选择要扫的文件类型”、“选择是否扫子文件夹”。然后,再分别按那两个钮。结果出来后,转不转成TXT文件都可以。转了以后,看着清楚点儿。DLLCOMPARE——很简单的小工具,但关键时刻很管用。
天天泡泡 - 2005-7-18 22:11:00
| 引用: |
【baohe的贴子】
就是“选择扫描路径”、“选择要扫的文件类型”、“选择是否扫子文件夹”。然后,再分别按那两个钮。结果出来后,转不转成TXT文件都可以。转了以后,看着清楚点儿。DLLCOMPARE——很简单的小工具,但关键时刻很管用。
........................... |
谢谢baohe,慢慢学着用
深谷绝学 - 2005-7-18 22:12:00
【回复“baohe”的帖子】
谢谢版主 辛苦拉
但我下的你上传的附件killbox这个东东 我打开后 里面显示的和你帖图的不同哦 都没有(扫描)这个按钮 没有扫描这个按钮 根本就无法查 请指示。。
^_^
baohe - 2005-7-18 22:15:00
| 引用: |
【深谷绝学的贴子】【回复“baohe”的帖子】
谢谢版主 辛苦拉
但我下的你上传的附件killbox这个东东 我打开后 里面显示的和你帖图的不同哦 都没有(扫描)这个按钮 没有扫描这个按钮 根本就无法查 请指示。。
^_^
........................... |
啊!!
我下载一下,看看怎么回事。一会儿回复你。别走开。
baohe - 2005-7-18 22:20:00
| 引用: |
【深谷绝学的贴子】【回复“baohe”的帖子】
谢谢版主 辛苦拉
但我下的你上传的附件killbox这个东东 我打开后 里面显示的和你帖图的不同哦 都没有(扫描)这个按钮 没有扫描这个按钮 根本就无法查 请指示。。
^_^
........................... |
刚下载了,试过了——没问题(看下图)
附件:
1558472005718222044.jpg
花落花又开 - 2005-7-18 22:33:00
N小时前下载过,无事.
Qoo酷儿 - 2005-7-18 22:37:00
| 引用: |
【深谷绝学的贴子】【回复“baohe”的帖子】
谢谢版主 辛苦拉
但我下的你上传的附件killbox这个东东 我打开后 里面显示的和你帖图的不同哦 都没有(扫描)这个按钮 没有扫描这个按钮 根本就无法查 请指示。。
^_^
........................... |
你下的是Killbox,问的是Dllcompare,都两码事,你能说说区别吗?
Qoo酷儿 - 2005-7-18 22:54:00
DLLCOMPARE不能放置在带双字节的目录中运行,例如是中文命名的文件夹,即不能放置在“桌面”中运行。
不用金山 - 2005-7-18 23:45:00
我把文件夹放到e盘里了 可是不管是在普通模式还是安全模式
dllcompare都不能打开 双击出一个对话框 Run-time error '75 ':
Path/File access error
而killbox在两种模式下都能打开 怎么回事啊
baohe - 2005-7-19 8:04:00
| 引用: |
【不用金山的贴子】我把文件夹放到e盘里了 可是不管是在普通模式还是安全模式
dllcompare都不能打开 双击出一个对话框 Run-time error ''75 '':
Path/File access error
而killbox在两种模式下都能打开 怎么回事啊
........................... |
你楼上的"Qoo酷儿"已经说得很清楚了。听他的。
脑袋大了 - 2005-7-19 10:30:00
谢谢楼主的贴,我中了病毒已经几天了,检查是c:\windows\system32\rdriv.sys 是病毒。 注册表删除了RDRIV有关的项目,在安全模式下删除了rdriv.sys文件。但上网一会又出现这个病毒......郁闷,重复N遍,格C盘N遍,用GHOST恢复N遍,只要上网就会出现提示c:\windows\system32\rdriv.sys ,
不知道这个病毒藏在哪?我都郁闷死了,非要逼着我用98啊(我用的是XP sp1)
晚上回家我在用你的方法,试试.........
请问,是否DLLCOMPARE搜索出的*.exe文件要全部删除啊?
Handsome_001 - 2005-7-19 10:41:00
【回复“脑袋大了”的帖子】
1.把c:\windows\system32\rdriv.sys压缩上传。
2.XP sp1要打补丁才好,这是反复中同一种病毒的一个原因。
3.是否DLLCOMPARE搜索出的*.exe文件要全部删除啊?
否。要仔细判断,最好备份。
Handsome_001 - 2005-7-19 10:45:00
【回复“baohe”的帖子】
帮我看看DLLCompare Log 里的有不有问题?
* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
C:\WINDOWS\SYSTEM\edakin.exe Wed May 5 1999 22:22:00 ..SHR 220,333 215.17 K
C:\PROGRA~1\SYMANTEC\PCANYW~1\PACKAGER\RESOUR~1\0000\Total of file sizes: 171,024,632 bytes 163.10 M
________________________________________________
441 items found: 441 files (1 H/S), 0 directories.
--------------------End log---------------------
baohe - 2005-7-19 11:12:00
| 引用: |
【脑袋大了的贴子】....用GHOST恢复N遍,只要上网就会出现提示c:\windows\system32\rdriv.sys ,....
........................... |
明显是“反复染毒”;而不是什么“杀不掉”。系统安全防护工作是用户自己的事,别人无法代替你做这些。
脑袋大了 - 2005-7-19 11:14:00
补丁都打好了
如何分辨*.exe 哪个是病毒啊?
从别的论坛知道如下内容:
再或者用下面这个工具删除
KillBox 2.0.0.17 汉化版(修正)包含图解说明:
我终于查出这个病毒了,如下:Win32.Troj.VB.24199 文件名:#.exe 路径:C:\Documents and Settings\CD-FOX-007\Local Settings\Temporary Internet Files\Content.IE5\XDQ97K3J\icyfox[1].js\ 结果:压缩包内木马,请解压后处理。我要问的是:我顺着这个路径找不到啊,我只能找到CD-FOX-OO7,再往下的我就找不到了,我如何解压啊,高手帮帮忙啊,谢谢。
C:\Documents and Settings\CD-FOX-007\Local Settings为隐藏目录,要开户显示隐藏文件的选项,才能看见这个文件,根据你提供的目录,应该是上网临时文件,一般没什么用,可以直接删除的,另外你要注意一下启动项,似乎该病毒随系统一块启动进驻内存,最好在安全模式下删除,另外金山毒霸V也太老了,用诺顿2005吧!
今天查明瑞星反复报告木马Trojan.Rookit.k并删除的rdriv.sys文件是由C:\WINNT\image.exe创建的,用KillBox删除这个文件即可。
Handsome_001 - 2005-7-19 11:21:00
rdriv.sys,这是一个RootKit,会被一些病毒、后门程序或木马附带,比较常见的是附带在一些bot类病毒中,用于隐藏病毒文件和相关信息。
>如果发现%System%rdriv.sys删除不了,可以尝试以下操作:
>到注册表编辑器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrdriv位置,删除rdriv项,重新启动系统后再尝试删除%System%rdriv.sys文件,应该可以解决。
补丁WindowsXP-KB828035-x86-CHS ,可以试一下
1.请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,
可以把“删除所有脱机内容”选上)。
2.普通模式不行的话,在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
如果还不行,试试看,启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面,把能删除都删掉。
3.System Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
如前面指出的,这会将之前所有的还原点清除。单击“是”。
单击“确定”。
4.在注册表里搜"backdoor"把搜到的全部删除
1.搜索C/winnt/system32/里是否有SSMS.EXE文件
2.如果有,开始/"运行"按REGEDIT,进入注册表。
3.在HKEY_LOCAL_MACHINE中找到currentcontrolset里面有个子目录叫SERVICES
4.在SERVICES里寻找rdriv和SSMS 两个注册启动的东东 DEL掉
5.重新启动计算机,进入DOS(不论什么方法进DOS就行)
6.在你系统所在分区的提示符下输入DEL rdriv.sys 和del ssms.exe
7.重启动,搜索已经删除的那两个文件
如果不行,注意检查是否有:
bling.exe
netwmon.exe
wuamgrd.exe
的存在,有则先删除其注册表中的注册信息,然后按我说的5-8条的方法,就可以清除.
baohe - 2005-7-19 11:33:00
| 引用: |
【Handsome_001的贴子】【回复“baohe”的帖子】
帮我看看DLLCompare Log 里的有不有问题?
* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
C:\WINDOWS\SYSTEM\edakin.exe Wed May 5 1999 22:22:00 ..SHR 220,333 215.17 K
C:\PROGRA~1\SYMANTEC\PCANYW~1\PACKAGER\RESOUR~1\0000\Total of file sizes: 171,024,632 bytes 163.10 M
________________________________________________
441 items found: 441 files (1 H/S), 0 directories.
--------------------End log---------------------
........................... |
第一个:没见过。
第二个:诺顿的东东。
misstykita - 2005-7-19 11:47:00
昨天不幸中了rootkit。win32.agent。p病毒
卡巴斯基提示c盘\WINDOWS\system32目录下 rdirv。sys染毒
但是用killbox却无法删除此文件
我用icesword因为知识有限。。。对于发现毒虫exe文件无能为力,于是昨天下班了杀毒未果
今天卡巴斯基不厌其烦的老是提示我又中了毒
(昨天的那个没有杀掉的rdirv不来烦我了,不知道怎么回事)
染毒文件是windows\system32下面的extel。exe
无奈用dllcompare扫描c盘无可疑文件。。
我试着用killbox在安全模式下替换模式强制删除extel。exe文件
然后重启
开始卡巴自检还在提示有病毒。。。
用咔吧在确定区域(c:\windows\system32)查毒
发现没有任何问题了。。。。。。
是不是killbox删除文件见效了?
我怕杀不干净,在注册表下面也没有查到extel有关文件(是不是该查extel有关文件)
昨天在system32目录下一直困扰我的rdirv。sys系统文件
也没有了
是不是我得问题解决了?
再次重启后,卡巴扫描system32之后也安静下来 没有报错
如果问题解决了,在这里感谢baohe及热心达人
虽然没有取得质的进步,但是对于此类病毒的对策略知一二
今后也不会手忙脚乱了
对于各位达人介绍的软件,非常好用,已经收藏
脑袋大了 - 2005-7-19 11:54:00
好 回去试试 ,在绝望中看到点曙光..........(:-)
深谷绝学 - 2005-7-19 13:25:00
哦 ^_^ 不好意思 我看错拉
抱歉
深谷绝学 - 2005-7-19 13:26:00
【回复“baohe”的帖子】
楼主 不好意思呀 我看错拉
不用金山 - 2005-7-19 13:34:00
DllCompare.exe 打不开 有人能告诉我为什么吗
小梦龙 - 2005-7-19 13:44:00
有人能告诉我,要是2000要是中了这个程序怎么办吗?
我家机器只装了2000,开机后瑞星就发现c:\windows\system32\rdriv.sys病毒,但是删了又出来就没停止过,这里都在讲XP下的删除病毒方法,有人能告诉我2000下怎么办吗?
baohe - 2005-7-19 13:56:00
| 引用: |
【不用金山的贴子】DllCompare.exe 打不开 有人能告诉我为什么吗
........................... |
Qoo酷儿答:DLLCOMPARE不能放置在带双字节的目录中运行,例如是中文命名的文件夹,即不能放置在“桌面”中运行。
不用金山 - 2005-7-19 14:05:00
······我看到了 开始我就是在桌面运行的 然后我把整个文件夹剪切到本地磁盘E了 还是打不开啊 为什么啊baohe大哥
baohe - 2005-7-19 14:16:00
| 引用: |
【不用金山的贴子】······我看到了 开始我就是在桌面运行的 然后我把整个文件夹剪切到本地磁盘E了 还是打不开啊 为什么啊baohe大哥
........................... |
将那个包中的东东解压到一个英文路径下,如:C:\Program Files\。然后再运行,应该可以。
不用金山 - 2005-7-19 14:20:00
好的 谢谢了 我试试
© 2000 - 2026 Rising Corp. Ltd.