rootkit.agent.lk 处理方法.. bbs.ikaka.com

mopery - 2006-10-14 4:47:00

rootkit.agent.lk 就是 Rootkit.CallGate.b 的变种..
这次病毒好象改进了点..无法在虚拟机下运行..实机运行正常..

删除方法同http://forum.ikaka.com/topic.asp?board=28&artid=8156736一样..只是把 C:\WINDOWS\system32\drivers\Rinld.sys 改为 C:\WINDOWS\system32\drivers\modol.sys

简单的处理方法.
⒈把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
⒉把 C:\WINDOWS\system32\drivers\modol.sys 改为 C:\WINDOWS\system32\drivers\modol.txt
⒊把 Tencent\QQ\TIMPlateform.exe(具体路径依照各位QQ路径) 改为 Tencent\QQ\TIMPlateform.txt
然后重启..删除
C:\Program Files\Tencent\QQ\TIMPlateform.txt
C:\WINDOWS\system32\drivers\modol.txt
C:\WINDOWS\system32\Ravdm.txt

接着用SREng 清理下注册表..

SREng下载地址:http://mopery.hits.io/sreng2.zip

打开注册表..删除
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

manamaname - 2006-10-14 5:52:00

你果然是广大人民群众的救星啊，我代表基地组织全体勇士向你致敬

猪知山 - 2006-10-14 7:32:00

收藏，以前都是简单的修复。。。。。。

爬围墙上青天 - 2006-10-14 8:28:00

沙发先坐下````学习了````是反病毒论坛培养了我`这里就象大课堂```呵呵```《正在学习中....》

附件: 7467202006101482036.BMP

lyzgy123 - 2006-10-14 8:47:00

把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
怎么把EXE改为TXT..不懂，求教：）

龙飞扬 - 2006-10-14 9:19:00

学习了

oo123oo3 - 2006-10-14 10:17:00

哇~~看到就是收获

lyzgy123 - 2006-10-14 10:19:00

⒈把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
没发现这个文件啊。。

爬围墙上青天 - 2006-10-14 10:46:00

引用:

【lyzgy123的贴子】⒈把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
没发现这个文件啊。。
………………

中毒了？

闪电风暴 - 2006-10-14 12:23:00

麻烦发一下:kxzhmc500@sina.com

http://mopery.hits.io/Ravdm.zip

sucyn - 2006-10-14 13:06:00

不错,昨晚通宵的家伙,呵呵

浩瀚天下 - 2006-10-14 13:34:00

前天有个人在我的QQ邮箱里放了这个毒,不过用瑞星扫描了一下,全杀了

娃娃不坏 - 2006-10-14 13:45:00

hao hao

yizi - 2006-10-14 14:03:00

呵呵，又是这个的变种，杀了好多次了

轩辕小聪 - 2006-10-14 15:53:00

引用:

【lyzgy123的贴子】把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
怎么把EXE改为TXT..不懂，求教：）
………………

打开“我的电脑”，在“工具”-“文件夹选项”-“查看”中，选“显示所有文件和文件夹”，并把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”两项前面的勾去掉。再去找病毒文件。.exe和.txt都是扩展名。

不想中病毒 - 2006-10-14 20:21:00

本来我也中了的但是我自己乱搞就把它搞没拉呵呵

婷婷乖乖 - 2006-10-14 21:48:00

LZ，Rootkit.Agent.lk在C:\WINDOWS\system32\drivers/modulensb sys. 这个文件里。

但是我却没有找到这个文件（我以去掉了那两个勾了），但每次杀毒还是会有。。该怎么办吖。。急

C:\WINDOWS\system32\drivers\modulensb sys
用WINRAR来查找..找到后右键重命名就行..

飞逝v流星 - 2006-10-14 22:05:00

学习

aerkaite - 2006-10-15 11:31:00

为什么我找不到Ravdm.exe这个文件啊！用了14楼的方法也不行！怎么办啊？

婷婷乖乖 - 2006-10-15 12:29:00

引用:

【婷婷乖乖的贴子】LZ，Rootkit.Agent.lk在C:\WINDOWS\system32\drivers/modulensb sys. 这个文件里。

但是我却没有找到这个文件（我以去掉了那两个勾了），但每次杀毒还是会有。。该怎么办吖。。急

C:\WINDOWS\system32\drivers\modulensb sys
用WINRAR来查找..找到后右键重命名就行..
………………

WINRAR是什么？是不是需要先下在呢？是不是把sys 改成txt？麻烦你拉

婷婷乖乖 - 2006-10-15 12:38:00

引用:

首先呢，先谢谢你．

我已经把C:\WINDOWS\system32\drivers\modulensb sys改成C:\WINDOWS\system32\drivers\modulensb．txt　是不是这样改? 还要不要把此文件删掉呢？

我的注册表里没有
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load这一项，该怎么办呐

shasinicaoni - 2006-10-17 19:10:00

ding

shasinicaoni - 2006-10-17 19:12:00

这个毒根本没有ravdm.exe

碎心伤觉 - 2006-10-23 20:07:00

这个病毒请问会导致什么后果。。。。

贝克阿泽 - 2006-10-24 15:15:00

牛X！

我是来来 - 2006-10-24 15:26:00

你果然是广大人民群众的救星啊，我代表基地组织全体勇士向你致敬

qinzi1212 - 2006-10-24 15:57:00

亲爱的楼猪,你说的和我中的病毒不一样啊,我中的是RootKit.Agent.lt.请问这个该怎么处理?还有你讲的要改变文件的扩展名,请问,扩展名怎么改呀?比如你讲的这个.
简单的处理方法.
⒈把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
⒉把 C:\WINDOWS\system32\drivers\modol.sys 改为 C:\WINDOWS\system32\drivers\modol.txt
⒊把 Tencent\QQ\TIMPlateform.exe(具体路径依照各位QQ路径) 改为 Tencent\QQ\TIMPlateform.txt

我虽然能明白,但是我不知道怎样操作.这个是不是要打开注册表,注册表又应该怎样打开?请赐教!我在网上看到很多人处理病毒都用到了这个,但是就是不会用.亲爱的楼猪,你一定要帮帮忙呀,因为在我身边目前找不到可以询问的人,就是说几乎没人能帮我.谢谢了,这里有礼了!
谢谢!

鱼和剑 - 2006-10-25 1:13:00

引用:

【婷婷乖乖的贴子】
首先呢，先谢谢你．

我已经把C:\WINDOWS\system32\drivers\modulensb sys改成C:\WINDOWS\system32\drivers\modulensb．txt　是不是这样改? 还要不要把此文件删掉呢？

我的注册表里没有
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load这一项，该怎么办呐

………………

我也是一样的病毒到现在还没删除~! 哪位高手帮忙啊~!

一切湘向前看 - 2006-10-28 10:25:00

我的也中毒了中的是rootkit.agent.lu，该病毒的位置是
C:\WINDOWS\system32\drivers\ProcServ.sys
但是我无法更改它的扩展名，改成TXT就自动变回来
每次都杀得到，就是每次重起就有

瑞星卡卡安全论坛