瑞星卡卡安全论坛

【回复“misstykita”的帖子】
同感：killbox在普通模式下无法删除时，可以用替换后重启模式删除文件，就可以了。
有时avp无法清除的病毒，也要从启电脑后才能清除。

引用:

【baohe的贴子】 第一个：没见过。 第二个：诺顿的东东。 ...........................

我把edakin.exe打包上传，你检查下是水是病毒、木马什么的。我的avp不报。

附件: 2058692005719143040.rar

引用:

【Handsome_001的贴子】【回复“misstykita”的帖子】 同感：killbox在普通模式下无法删除时，可以用替换后重启模式删除文件，就可以了。 有时avp无法清除的病毒，也要从启电脑后才能清除。 ...........................

实际上，这是一个杀软（或工具软件）与病毒争夺系统控制权的问题。重启，相当于径赛起点的发令枪声；而杀软、工具软件、病毒等程序则相当于参加赛跑的运动员。谁跑得快（启动加载抢先一步），谁就能获胜（获得系统控制权）。本质上就是这么回事。

引用:

【Handsome_001的贴子】 我把edakin.exe打包上传，你检查下是水是病毒、木马什么的。我的avp不报。 ...........................

解压密码？我填virus——错。

【回复“baohe”的帖子】
密码可能是：1

【回复“baohe”的帖子】
我没加密码，在我的机子可以解开也不用填密码。难道是软件自动加的密码。
密码可能是：1

edakin.exe我运行后avp马上报C:\WINDOWS\SYSTEM\msdirectx.sys是个rootkit.win32.agent.l病毒。
删edakin.exe后，又用DllCompare查出以下内容：
*    DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM\pfewlq.exe    Wed May  5 1999  22:22:00  ..SHR        220,333  215.17 K
C:\PROGRA~1\SYMANTEC\PCANYW~1\PACKAGER\RESOUR~1\0000\Total of file sizes:  171,024,632 bytes    163.10 M
________________________________________________

441 items found:  441 files (1 H/S), 0 directories.

--------------------End log---------------------
运行C:\WINDOWS\SYSTEM\pfewlq.exe    后avp又报同样的病毒。
上上传一下C:\WINDOWS\SYSTEM\pfewlq.exe

附件: 2058692005719153631.rar

我的机器也中了rootkit，用haohe大哥的方法杀了一遍，好像没有了，但是还有一种backdoor.agod的病毒，而且电脑上网的时候总是自动连接一些英文网站，不知道怎么解决，望赐教

【回复“Handsome_001”的帖子】
呵呵。解压密码是：1。解开了。恭喜你！你中的就是我用的这个样本！你就“照方抓药”吧。
这个后门的特点之一是——每感染系统一次，.exe的文件名都变化。

【回复“Handsome_001”的帖子】
C:\WINDOWS\SYSTEM\pfewlq.exe这个应该是病毒文件。

毒是杀了!!
可是,
现在老是在提示imgae.exe-损坏文件,请检察c:\windows\system32\rdriv.sys

我估计是image.exe想启动,但是被我删了rdriv.sys,所以启动不了,
毒是没了,但是老是在右下角提示,不爽,
谁知道他在注删表的具体位置!!!!!!


夏日穿棉袄求!!!!!!
不回答,就打电话到瑞星,呵呵!!!
烦死你!!!!
嘻!!

【回复“Djchare”的帖子】请认真参考我在本贴贴的那8张图。注意操作环境和操作顺序。

引用:

【baohe的贴子】【回复“Djchare”的帖子】请认真参考我在本贴贴的那8张图。注意操作环境和操作顺序。 ...........................

在吗！？／
能否给你用的注册表工具的下载地址我！！
我在注册表内找不到那些键值！

Backdoor.Win32.Irofer.13b04和rootkit.win32.agent.l是同一个样本产生的病毒吗？为什么名字不一样？

不一样吧！！
只中了一种，
呵呵！！！！１

【回复“Handsome_001”的帖子】那个解压密码为“1”的包就是Backdoor.Win32.Irofer.13b04

引用:

【baohe的贴子】【回复“Handsome_001”的帖子】那个解压密码为“1”的包就是Backdoor.Win32.Irofer.13b04 ...........................

为什么我的avp4.5开始报的是rootkit.win32.agent.l？
打包后，在压缩包里查又是Backdoor.Win32.Irofer.13b04？
而在没有打包前什么都不包。
是不是和这个病毒的壳有关？




附件: 2058692005719175618.bmp

【回复“Handsome_001”的帖子】
我试图解包时，忘了关闭卡巴斯基。解包，咔吧就报——Backdoor.Win32.Irofer.13b04。

我是XP的系统~下不了DLLCOMPARE怎么办啊?

谢谢，收了。

引用:

【baohe的贴子】 Qoo酷儿答：DLLCOMPARE不能放置在带双字节的目录中运行，例如是中文命名的文件夹，即不能放置在“桌面”中运行。 ...........................

建议最好在前贴中加入.

【回复“花落花又开”的帖子】
谢谢提醒！已经加入前帖。

引用:

【Handsome_001的贴子】 为什么我的avp4.5开始报的是rootkit.win32.agent.l？ 打包后，在压缩包里查又是Backdoor.Win32.Irofer.13b04？ 而在没有打包前什么都不包。 是不是和这个病毒的壳有关？ ...........................

不是。因为那个样本含两个病毒文件。卡巴斯基查毒时，扫到.exe报一个病毒名；扫到.sys文件时，报另一个病毒名。你可以将两个病毒文件解压到一个地方，用卡巴斯基扫一下，看看是不是这么回事。

Kaspersky人就是比较讲究效率.
KV不报!

学习到了

嘻嘻,头像好酷啊

谢谢baohe版主^_^，我学习了以后终于把电脑上的trojan.rootkit.k杀掉了，呵呵。非常感谢~

555555555555555
我找不到你说的下的工具啊,

报告昨晚杀毒情况---------结果基本成功

按照方法操作，删除了rdriv.sys(安全模式KILLBOX)，并清理注册表，用木马克星和反间谍专家，检查无异常，SYSTEM32下无rdriv及smss文件。

重启---上网---病毒又出现

反复杀，反复出........郁闷了

DLLCOMPARE 用了不知道哪个是病毒文件，太多的*.exe

最后用反间谍专家发现进程中有 C:\WINDOWS\SYSTEM32\SMSS.EXE

关闭该进程，检查没有SMSS.EXE文件，显示了隐含文件及系统隐含文件，仍然没发现，（其实在XP状态无法看到，不管在安全模式下还是正常模式下，不知道这个文件怎么隐藏在SYSTEM32下的）病毒还是又一次出现。

重启--进入DOS，进入SYSTEM32，输入DEL SMSS.EXE 和 DEL RDRIV.SYS 成功删除，---重启------不能在进入WIN XP了，不断自动重启（心头一喜，这次是否杀了病根了？）

好在又备份，GHOST恢复，木马克星检查，进程检查，无异常，上网2个小时了，无异常，中间只蹦过信使，忘了关闭了。

^_^ 希望对和我一样着急杀RDRIV的朋友有所帮助，RDRIV我算是记住了............

下载了，学习。。。