瑞星卡卡安全论坛

呵呵，是学习这个帖子呢

班猪，俺是一只菜鸟，不是很懂得电脑方面的技术。今天我一上Q，Q就自动发送网址出去了，而我的杀毒软件也启动不了，下载了你说的那个杀毒软件，但打不开没办法安装。。唉，实在是郁闷哪～～

瑞星本身携带的查杀木马有用吗?

才搞了一个，稍微变了个名，方法都一样，谢了，楼主。

望楼主把步骤写的更详细一点，像搜索注册表的工具，你应该提供下载，还有，怎么判断那些是病毒文件？？病毒文件应该有特征的，你得说一下，不说一下，让我们怎么去找？？

引用:

【wfpl6190的贴子】望楼主把步骤写的更详细一点，像搜索注册表的工具，你应该提供下载，还有，怎么判断那些是病毒文件？？病毒文件应该有特征的，你得说一下，不说一下，让我们怎么去找？？ ...........................

很抱歉！那个TuneUp2004是我一年前搞到的，下载地址——早忘记了。其实不一定非用那个TuneUp 2004。用windows自带的注册表编辑器也是一样的。我只是用惯了TuneUp，所以，起手就是TuneUp。完全可以变通的。思路不要那么窄。

怎么判断那些病毒文件？谁也没教过我。自己分析。拿不准时，要及时给自己留条后路（删除前备份待删除对象）。就这么回事。

楼主，请问，我的电脑现在启动后总回自动打开http://217.170.4.137/_vti_bin/index.html网页，然后会启动c:\windons\下的 update-sp2.html、update-sp3.html、update-sp5.html、symantec.html和symantec.scan.html几个文件，之后会出现一个dos窗口提示在注册表中加载什么驱动失败，电脑运行一会后拨号网络会无反映，不能登陆任何网站，只能重起，不知道我中的是你说的这个病毒吗？谢谢！请求帮助。

关于rootkit.k病毒我今天用超级免子魔法设置6.95版把它踢出去了，没想到吧，超级免子的注册码在网上随便都能找得到，你们可以试试

我的也可以删了，但其他电脑连不到受过感染的电脑，不能使用网络打印机．如我的服务器受感染，其他电脑就连不到服务器了

引用:

【fb626的贴子】我的电脑中了WINDOWS的木马要解压杀不掉啊!!!谁能教教我? ...........................

安全模式下试试~

只好试试了~~~~~~~~~~

先收藏了。

看了半天 有点迷糊，呆会动手试试，但还有一点不明白：
有办法可以让他杀了不再中吗？？

我单位局域网 很多机器都杀到 trojan.rootkit.k,升级到最新的瑞星 能杀掉 病毒文件是rdriv.sys ,显示删

除成功。但是 过一天再杀，还能杀到，还是 删除成功。。。
是没真正杀掉还是又感染了？  按照你们讨论的，杀，就算成了，怎样可以 让他不再中？？
同时 瑞星报告 很多来自其他机器的ms-0411 exploit,blaster rpc exploit 漏洞攻击 去查这些发起攻击的机

器,win2000都打了sp4 835732 823980,冲击拨 震荡拨转杀工具也杀不到，有2台杀前会说提示：我可能已感染

，，，但是杀不出.其中一台会在网上发很多包，目的地址是 ip 前两位和本机相同，后两位随机，
我格式化，重装win2000,拔了网线，打上sp4,823980 835732 补丁，装上瑞星，再接网线，，，居然又发。。

。。。

引用:

【batigol0的贴子】看了半天 有点迷糊，呆会动手试试，但还有一点不明白： 有办法可以让他杀了不再中吗？？ 我单位局域网 很多机器都杀到 trojan.rootkit.k,升级到最新的瑞星 能杀掉 病毒文件是rdriv.sys ,显示删 除成功。但是 过一天再杀，还能杀到，还是 删除成功。。。 是没真正杀掉还是又感染了？  按照你们讨论的，杀，就算成了，怎样可以 让他不再中？？ 同时 瑞星报告 很多来自其他机器的ms-0411 exploit,blaster rpc exploit 漏洞攻击 去查这些发起攻击的机 器,win2000都打了sp4 835732 823980,冲击拨 震荡拨转杀工具也杀不到，有2台杀前会说提示：我可能已感染 ，，，但是杀不出.其中一台会在网上发很多包，目的地址是 ip 前两位和本机相同，后两位随机， 我格式化，重装win2000,拔了网线，打上sp4,823980 835732 补丁，装上瑞星，再接网线，，，居然又发。。 。。。 ...........................

目前瑞星还不能把真凶＂病毒文件.exe＂一起删除.

2000补丁好象出到SP5了吧?(抱歉,我对2000不怎么熟悉).

在局域网中反复感染的现象很有可能发生,请做好系统防护措施.

查杀病毒Trojan.DL.Delf.e也需要解压，怎么办？请baohe版主赐教。谢谢！

引用:

【minifox的贴子】 查杀病毒Trojan.DL.Delf.e也需要解压，怎么办？请baohe版主赐教。谢谢！ ...........................

http://forum.ikaka.com/topic.asp?board=28&artid=5216854

我的还是没杀净，机器也很慢的！还连不上局域网和互连网．今天升级瑞星又杀又杀出来个Backdoor.CodBot.1这两次杀毒后机器总是重新启动!还总提示系统从一个严重的错误中恢复一点不发送又重新启动了

引用:

【junda的贴子】我的还是没杀净，机器也很慢的！还连不上局域网和互连网．今天升级瑞星又杀又杀出来个Backdoor.CodBot.1这两次杀毒后机器总是重新启动!还总提示系统从一个严重的错误中恢复一点不发送又重新启动了 ...........................

看来，你的系统缺少补丁。

顶

版主啊，Trojan-Downloader.Win32.WinAD.h 已经有好一阵子了，不知道怎么杀啊，我的卡巴斯基，进一系统，就杀一次，前一阵子不有Backdoor.Win32（后面的记不住 了）现在没有了，我应该怎么做呢，前些看卡卡论坛，上面有说进Dos，杀毒的，我做了个杀毒的优盘，可是不知道应该怎么用啊，可以一次杀干净吗，如果要改注册表，应该怎么改啊。请告诉我啊！！！！万分的感谢啊！！！！

ogfile of HijackThis v1.99.1
Scan saved at 0:00:12, on 2005-7-24
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\kk\d\咔巴斯基\Kaspersky Anti-Virus\avpm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINDOWS\System32\2bo3o8vp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
G:\kk\d\咔巴斯基\Kaspersky Anti-Virus\Avp32.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
G:\kk\d\杀毒\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v5.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Windows Update] msnupdates.exe
O4 - HKLM\..\Run: [AVP Monitor] G:\kk\d\咔巴斯基\Kaspersky Anti-Virus\avpm.exe
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [System Service] servicex.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [2bo3o8vp] C:\WINDOWS\System32\2bo3o8vp.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\RunServices: [Windows Update] msnupdates.exe
O4 - HKLM\..\RunServices: [System Service] servicex.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Update] msnupdates.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - G:\kk\d\QQ\qq\cx\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - G:\kk\d\QQ\qq\cx\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - G:\kk\d\QQ\qq\cx\qq\SendMMS.htm
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn (file missing)
O9 - Extra button: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/064822aaff7a43762b05/netzip/RdxIE601_cn.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C7D092F-BA37-48B5-8121-914724AF3946}: NameServer = 10.254.131.253,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C7D092F-BA37-48B5-8121-914724AF3946}: NameServer = 10.254.131.253,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C7D092F-BA37-48B5-8121-914724AF3946}: NameServer = 10.254.131.253,0.0.0.0
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)

这是我扫描完后的，麻烦版主看一下，谢谢！！！

我中的也是Trojan.Rootkit.k
  那个病毒在C:\WINDOWS\system32\rdriv.sys可我查这个文件时怎么也查不到可瑞星有显示病毒在这个文件里这怎么办啊

我中的也是Trojan.Rootkit.k
  瑞星显示病毒在C:\WINDOWS\system32\rdriv.sys文件里
可我怎么也找不到这个文件这是怎么回事啊。

引用:

【我不懂啊的贴子】我中的也是Trojan.Rootkit.k   瑞星显示病毒在C:\WINDOWS\system32\rdriv.sys文件里 可我怎么也找不到这个文件这是怎么回事啊。 ...........................

你好像没看懂我主帖中说些什么。如果能轻易找到C:\WINDOWS\system32\rdriv.sys，我还介绍哪些工具干吗？

我用了可还是扫描不到那个文件
C:\WINDOWS\system32\rdriv.sys

我是扫描C盘的  sys文件啊

引用:

【我不懂啊的贴子】我用了可还是扫描不到那个文件 C:\WINDOWS\system32\rdriv.sys ...........................

你还是没看明白这个帖子。“3、重启到普通WINDOWS 模式后，用WINDOWS的搜索功能寻找病毒的“隐身工具”——msdirectx.sys（图5）。找到后，用IceSword删除。”
这是在“不知道.sys文件的位置”时才不得已这么作。
现在，你已经知道 rdriv.sys在C:\WINDOWS\system32\下，用IceSword直接把它删了就行（当然，前提是你已经做完了前两步操作）。

不是啊是瑞星告诉我病毒在C:\WINDOWS\system32\rdriv.sys里的
  我用你的扫描器扫描时查不到啊

我找到了不过IceSword1.08怎么用啊