rootkit木马查杀实录 bbs.ikaka.com

baohe - 2005-7-24 20:57:00

引用:

【我不懂啊的贴子】我找到了不过IceSword1.08怎么用啊
...........................

晕！工具都不会找？等下，我帮你找找。

baohe - 2005-7-24 21:02:00

【回复“我不懂啊”的帖子】
下面这个帖子16-20楼的内容是我教一个MM怎么用IceSword删文件的。你可以参考：http://forum.ikaka.com/topic.asp?board=28&artid=6737497&page=2

我不懂啊 - 2005-7-24 21:38:00

谢谢了

小手♀冰凉 - 2005-7-25 8:16:00

版主，为什么不回我的啊

小手♀冰凉 - 2005-7-25 8:18:00

我的毒种了好久了啦，麻烦啦，谢谢

我不懂啊 - 2005-7-25 9:04:00

baohe哥，小弟我还有几个问要请教大哥你，这些问题对大哥你一定是小事啊！就是程序老是没响应，速度慢，有时还自动重新起机，还有的是网页老是和开机时自动打开。
能帮帮小弟我吗？
小弟在等待着大哥的回音哦！

baohe - 2005-7-25 9:50:00

【回复“小手♀冰凉”的帖子】
O4 - HKLM\..\Run: [Windows Update] msnupdates.exe——修复
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe——不知道是什么
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe——不知道是什么
O4 - HKLM\..\Run: [2bo3o8vp] C:\WINDOWS\System32\2bo3o8vp.exe——修复
O4 - HKLM\..\RunServices: [Windows Update] msnupdates.exe——修复
O4 - HKLM\..\RunServices: [System Service] servicex.exe——修复
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe——不知道是什么

O4 - HKCU\..\Run: [Windows Update] msnupdates.exe——修复

O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe——不知道是什么

另：既然有卡巴斯基，为何不全盘查杀一遍？

小手♀冰凉 - 2005-7-25 14:52:00

我杀了，可是，每次开机都会有啊

小手♀冰凉 - 2005-7-25 14:55:00

版主，那我用什么办法可以把这些毒一次都杀干净啊，郁闷死了啊，还有啊，这些都是什么毒啊。

小手♀冰凉 - 2005-7-25 15:09:00

baohe哥哥，我修复好了，还用在注册表里删除吗，还有你发的那个DLLCOMPARE我打开就死机，这是怎么回事啊

为毒而疯 - 2005-7-25 15:51:00

【回复“我不懂啊”的帖子】
说明你中了木马啊
找木马防线杀杀啊

消方 - 2005-7-25 17:44:00

bu coua

海蓝云天 - 2005-7-25 18:01:00

楼主图6我没看明白
注册表这方面我很菜
有没有这方面的帖子

小手♀冰凉 - 2005-7-26 8:56:00

baohe哥哥，你怎么没上啊。看到我的留言，麻烦回一个好吗，我会1小时上一次等你的噢（要上班的，不能让领导看到）

baohe - 2005-7-26 9:06:00

引用:

【小手♀冰凉的贴子】baohe哥哥，你怎么没上啊。看到我的留言，麻烦回一个好吗，我会1小时上一次等你的噢（要上班的，不能让领导看到）
...........................

用 HijackThis修复那些项目，只是暂时去掉了病毒添加的注册表项。那些病毒进程没看到路径，也无法判断如何查杀。如果你手头有杀软，建议升级病毒库后，在安全模式下杀毒。

小手♀冰凉 - 2005-7-26 9:11:00

可是baohe哥哥，我有一个作好了的杀毒的优盘，可是我不会用啊，教我怎么用好吗，麻烦了，谢谢！

闪电风暴 - 2005-7-26 11:00:00

ＢＡＯＨＥ，此贴应该放在＂超级主题＂里吧．

robbi136 - 2005-7-27 11:11:00

我的C盘下有个YSB。EXE，每阁一会而就自动打开网页，用瑞星杀了也没用，不知道是不是也是这中病毒，而我的系统是XP，不知道能否用这中办法杀毒，望BAOHE赐教

氢氧化钠 - 2005-7-27 11:47:00

引用:

【闪电风暴的贴子】ＢＡＯＨＥ，此贴应该放在＂超级主题＂里吧．
...........................

http://forum.ikaka.com/topic.asp?board=28&artid=6372316
这个超级主题中有那个帖子的 url。

a1b2c3d4 - 2005-7-28 17:58:00

to baohe兄弟：

我的rdriv.sys是杀掉了，不过在局域网中别人不能访问我的共享文件夹了，以前没中毒之前是可以互相访问的，看到好多人问这个问题，好象都没解决。

baohe - 2005-7-28 18:17:00

引用:

【a1b2c3d4的贴子】to baohe兄弟：

我的rdriv.sys是杀掉了，不过在局域网中别人不能访问我的共享文件夹了，以前没中毒之前是可以互相访问的，看到好多人问这个问题，好象都没解决。
...........................

这个问题我还没考虑过。我也在局域网中。但我从不与任何人共享我的任何文件（我在的这个局域网简直就是个“藏污纳垢”之所！）。
你用注册表修复工具修复一下注册表，试试。

a1b2c3d4 - 2005-7-28 19:42:00

to baohe：

我试过了，不管用的，唉！！

不过还是要谢谢兄弟的回复。

robbi136 - 2005-7-29 9:09:00

我的C盘下有个YSB。EXE，每阁一会而就自动打开网页，用瑞星杀了重起后又有了，是trojan purityscan 病毒，大家帮帮忙啊

布丁先生 - 2005-8-3 23:33:00

救命呀！我的电脑中了TROJ_ROOTKIT.L(TrendMicro PC-Cillin 2002 VirusBuster MSI OEM中的病毒名)Trojan.RootKit.j(Rising Online Virus Scan中的病毒名)，PC-cillin每次开机时提示找到TROJ_ROOTKIT.L，无法清除，隔离成功。文件位置和名称是：C:\Windows\System32\Drivers\00003918.sys，我的电脑用的是Microsoft Windows XP Professional原版，没升级过级，没打过任何补丁。手动杀毒，改注册表全无用，因为我很熟悉XP这几个版本的进程，只有一个进程很怪，我开机没打开IE浏览器，但有一个IE浏览器的进程，进程名和源地址全正确（但PID没有注意）。请问哪位兄弟有办法，我希望有办法手动删除。

啊碧 - 2005-8-4 0:36:00

请求帮助

请求帮助，我3号晚上18点半左右在华军软件，下载了一个叫（按键精灵）的小程序，并且用瑞星进行了杀毒，杀毒系统没任何提示，没想到，我去玩《热血江湖》不到15分钟，就被T被T出来，我再上去就有提示说有同一个号在进入游戏，我知道中了木马，用瑞星火墙查不到，等我用另外一台电脑去会员系统了密码，密码上去后两个号上的装备被洗劫一空。我对电脑知之不多，日前我该如何处理电脑中的木马？

瑞星卡卡安全论坛