瑞星卡卡安全论坛

瑞星病毒查杀c:\winnt\temp\ahb.dll，说染了rootkit.vanti.gen病毒－‘重启计算机后删除'。重启，DOS下查到确删了，可启动后，在未登陆时就已查到这个’染毒文件‘。使用卡卡安全助手进程管理查看，发现系统刚刚登陆时进程csrss.exe和services含有模块\temp\ahb.dll,系统完全加载后，除了上述两个进程外，包括rovmon.exe、rfwmain.exe、explorer.exe、rovmond.exe总共六个进程含有ahb.dll模块。此时如果加载了瑞星杀毒监控，则无法顺利打开瑞星个人防火墙主程序（rfwsrv.exe进程占用九成以上cpu资源）。怀疑c:\winnt\system32\hkdoordll.dll文件也可疑，但services启动需要，贸然删除后系统会无法启动的。
\temp目录下还有JETA908.tmp这样的若干文件。烦人的很，谁有办法，指导指导。

之前经历大致记录：
win2000机器4月初被人瞎了，后来查到，当天下午一点多开始：c:\winnt\多了一个crazy.exe文件（瑞星18.21.31版已能删除查杀病毒：Backdoor.Bifrose.acc），c:\winnt\system32\出现从125.93.181.26端口7801用户口令均为9527通过ftp拷入的cz、r.exe、st.exe（RAdmin2.0），cz文件内容为[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cz$] @=hex(1f4):，增加了一个本地服务remote administrator server并于当晚0点启动过，administrator管理员口令被改了,每次启动机器多了很多类似\system21\Perflib_Perfdata_29c.dat的文件以及文件CleanTrack.ini,\winnt目录下多了wet文件夹内有svchost.exe、raddrv.dll、AdmDll.dll、s.vbs以及RAdmin v2.0的两个注册文件1.reg和2.reg...◎有点类似灰鸽子吧.

下载icesword
打开后点击SSDT按纽
查看是否有可疑的.sys文件（一般是红色显示的）

没有！

【回复“ttgyb”的帖子】
http://www.syssafety.com/
下载安装SSM
在SSM中添加规则
禁止ahb.dll加载并将SSM设置为“自动加载”
重启后删除c:\winnt\temp\ahb.dll

SSM劫持中文

引用:

【不言放弃的贴子】【回复“ttgyb”的帖子】 http://www.syssafety.com/ 下载安装SSM 在SSM中添加规则 禁止ahb.dll加载并将SSM设置为“自动加载” 重启后删除c:\winnt\temp\ahb.dll SSM支持中文 ...........................

谢谢各位，我又将怀疑文件c:\winnt\system32\hkdoordll.dll报给瑞星中心，回复为’病毒名：Backdoor.Agent.bnb，我们将在较新的18.22.32版本中处理解决‘。升级瑞星版本查杀，说’重启计算机删除‘,当时我还高兴瑞星查出了，也没注意提示。老大啊！services.exe启动加载需要的，重启后连登陆窗口都到不了就自动倒数60秒重启了,害的我停机处理。
请各位高手特别是遇到类似问题的朋友费心关注本贴。我将现金悬赏。

瑞星邮件病毒上报的客服人员，大概只看附件，不看邮件文本内容的吧。好一个凄凉了得。

已经回答过两次这个问题了
懒的说

注意taskmg.exe进程，楼主自己搞定吧

问题已经解决。谢谢大家帮忙，感谢瑞星客服人员的指导。
因为现在的公网环境不咋的，所以工作、私人共用电脑特别要注意，力所能及的防范措施一定要做。另外在问题处理（包括使用一些说明不全的第三方工具）前，请确认重要文案已有妥善备份。

【回复“ttgyb”的帖子】
建议楼主把你的解决方法发出来
以供大家参考

谢谢了

楼主，建议把你的方案发出来，我和你的问题差不多，也是那个病毒啊