终于消除了顽固的 Rootkit.AdProt.g 病毒!! bbs.ikaka.com

红夜鬼1 - 2006-11-21 15:59:00

00006afa.sys
到安全模式下删除,不行,用利刃删除

Icesword v1.20（新手慎用）
①这是一斩断黑手的利刃，它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲。当然使用它需要用户有一些操作系统的知识。使用前请详细阅读说明。
在对软件做讲解之前，首先说明第一注意事项：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。

IceSword1.20 功能改动不大..跟 1.18 没多大区别..

②最新版本下载地址：
中文：http://202.38.64.10/~jfpan/download/IceSword120_cn.zip MD5 :cfb8514add1fbfb510b0084e837e561c

linyuxiao - 2006-11-21 16:08:00

建议隔离或者系统恢复

雪凯俊男 - 2006-11-21 16:15:00

【回复“红夜鬼1”的帖子】
我下了Icesword v1.20，但运行后不知道用，请教!

雪凯俊男 - 2006-11-21 16:17:00

【回复“linyuxiao”的帖子】
我从来没装过瑞星的卡卡。

linyuxiao - 2006-11-21 16:19:00

我刚把它清掉……因为我今天刚好一键修复的建立了还原点……不然……

linyuxiao - 2006-11-21 16:26:00

我搜到个帖子，你看看

发表文章
电脑中毒了！~~

2006-11-17　16:56:07

大中小
刚才发现电脑中毒了！~郁闷郁闷~~在百度搜了半天！~好像所有装了瑞星的用户在16，17号上网了就几乎全部中毒了！！~真是愤怒！瑞星怎么能这样呢！~~~！~！~~~
病毒的名字叫Rootkit.AdProt.g！~~不管怎么杀,只要重启它就会回来现在只知道,这个病毒的主要文件之一,是在windows下的system32里的drivers文件夹里生成一个前面有4个0的数字文件,大家的都不一样.我的就是00003b51.SYS 哪个混蛋弄出来的啊!~~~太过分了！~大家都中毒对他有什么好处呢？！~~
还好偶比较幸运！~搜到了这个！~可以用的~也比较不错~真的能用！~大家共享一下！~
1、首先下载UNLOCK。
UNLOCK下载地址：
http://www.crsky.com/soft/5890.html
下载完毕后安装在硬盘
2、打开控制面版，选择文件夹选项-查看，把隐藏受保护的作系统文件和隐藏文件与文件夹的钩去掉。
3、打开C:\Windows\system32\drivers\RGwatch.sys(被中毒的文件名），在RGwatch（被中毒的文件）.sys 文件上点击右键，选择用UNLOCK删除。
要是幸运的话就能用的~偶在网上也看到了用这种方法行不通的人，可能是因为运气不好吧~~我一次就行了！~下载unlocker打开,然后找到病毒问件点右键看到uniocker打开,如果提示文件没锁则这时在左下角小框显示无动作,这时点击拉开里面提示,点击删除,重新启动即可。
再贴一点可能有用的东西好了！~（要是你按照上边的方法不行的话！~~）
以下网站经网站安全中心检测，检测时有病毒，请网友提防！！ http://club.sob8.com/read-htm-tid-31969.html
“亡羊补牢”方法来挽救中毒辣系统http://club.sob8.com/read-htm-tid-37927.html
教大家一招金蝉脱窍——一招克死所有病毒！ http://club.sob8.com/read-htm-tid-31641.html
重点分析:病毒杀不死的原因及对策http://club.sob8.com/read-htm-tid-31991.html
制服顽劣的间谍软件有绝招！轻松就搞定！http://club.sob8.com/read-htm-tid-38810.html
网络安全之特洛伊木马攻防战略 http://club.sob8.com/read-htm-tid-38878.html
木马病毒清除的通用解法 http://club.sob8.com/read-htm-tid-38877.html
恶意网页病毒十三大症状分析以及简单的修复方法 http://club.sob8.com/read-htm-tid-38626.html
恶意代码使乱遭遇IE窗口不停打开 http://club.sob8.com/read-htm-tid-13251.html
教你一招注册表修改IE浏览器 http://club.sob8.com/read-htm-tid-13250.html
EXE文件感染病毒的修复方法！热心为网友们推荐！http://club.sob8.com/read-htm-tid-38944.html

雪凯俊男 - 2006-11-21 17:40:00

【回复“linyuxiao”的帖子】
你介绍的方法只能删除看到的这个子病毒****.SYS，但母病毒(产生这个子病毒的母体）隐藏在电脑中，瑞星目前没能查出来，消除也就无从谈起。期待瑞星工程师尽快提供解决方案

l307009616 - 2006-11-21 17:59:00

我电脑里也有这样的病毒　郁闷死了啊　杀完还出现　重做了系统也不行啊　还有

zch126 - 2006-11-21 18:14:00

请您登录瑞星网站，下载并且安装最新发布的卡卡安全助手3.0版，使用卡卡安全助手清除本机安装的恶意及流氓软件，然后重新启动计算机，升级瑞星杀毒软件到最新版，全盘查杀。
我的就是这样清除的。

zch126 - 2006-11-21 18:15:00

请您登录瑞星网站，下载并且安装最新发布的卡卡安全助手3.0版，使用卡卡安全助手清除本机安装的恶意及流氓软件，然后重新启动计算机，升级瑞星杀毒软件到最新版，全盘查杀。
我的就是这样清除的

qdhansen - 2006-11-21 18:24:00

真是郁闷，虽然清理掉了，但打开网页要提示这个病毒

孤星赶月 - 2006-11-21 18:28:00

瑞星的大哥们帮帮忙啊！！

雪凯俊男 - 2006-11-24 11:00:00

取得决定性胜利，终于解决了！
烦恼折磨几天，用尽了22日前的卡卡、兔子魔法和网友提供的其他方法，都不能彻底干掉这可恶的Rootkits病毒，最后还是用最新的卡卡干掉了Rootkits病毒!
11月23日终于盼到瑞星卡卡助手升级到：产品版本：3.0.0.7，特征库版本：3.0.0.4。
第一步：我首先暂时停止瑞星杀毒软件所有监控，然后下载流氓软件-雅虎助手，使用其插件管理功能暂时禁用所有IE插件功能。
第二步：我使用卡卡助手，查杀所有流氓软件(雅虎助手暂时保留)，其中发现有使用“金钟罩”Rootkits强大对付反病毒软件技术的“彩信通”等几个流氓软件，全部消除，恢复瑞星监控，立即重新启动机器，试打开各个驱动器和文档、上网浏览，没有再出现病毒，病毒的“根基”。
终于被完全消除。
痛快啊!!
最后在控制面板中御载流氓软件雅虎助手，之后再用卡卡助手彻底御载雅虎助手的残留部分(否则雅虎助手御载不完全)，重启电脑，OK!
注意：我的电脑的此病毒可能是最新的彩信通流氓软件变种产生，中病毒电脑在系统服务中找不到jmediaservice服务，即使在安全模式下也没有发现C:\windows\system32 Albus.DAT和C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，使人无从下手，最后只有苦苦等待反流氓软件升级了!
不管什么样终于干掉它了!几天下来，卡卡的功能在不断成长和强大!
最后还是要谢谢各位的建议!!

madlynn - 2006-11-24 12:45:00

奇怪了..还真的没有了咧~~
哈哈..
谢谢楼上的方法.

我打开IE后真的不再出现了

madlynn - 2006-11-24 12:46:00

好象真的清除掉了...

啊.....再多试几下....

是不真的清除掉了????

雪凯俊男 - 2006-11-24 13:01:00

我的真的消除掉了，现在没有复发呀。
各位有相同情况的欢迎讨论交流！

媚惑宠儿 - 2006-12-9 0:48:00

卡卡下不了,搞什么嘛
顺便问下,这个什么狗屁病毒有什么危害啊

媚惑宠儿 - 2006-12-9 1:23:00

那个病毒貌似杀掉了,但是还有问题,搞不清楚

欣馨昕歆 - 2007-1-5 10:06:00

有效，谢谢！

欣馨昕歆 - 2007-1-5 10:07:00

有效，谢谢！

昨天出现的新问题：
　　总在桌面下方任务栏出现地址为“http://220.167.103:9123/ndatin.asps?param=ABdXN1cm5hbWU9Y2Q4Njc40TUz0XpqJnBG1jeW1kPTM=&ref-Microsoft Internet Explorer”
的WEB浏览页面的标志，却始终不能打开，无法看见里面的内容。而瑞星却在睡大觉。删掉后，一会有出现，不知道是什么？请高手看看。

afkp4e7 - 2007-1-5 10:16:00

引用:

【雪凯俊男的贴子】取得决定性胜利，终于解决了！
烦恼折磨几天，用尽了22日前的卡卡、兔子魔法和网友提供的其他方法，都不能彻底干掉这可恶的Rootkits病毒，最后还是用最新的卡卡干掉了Rootkits病毒!
11月23日终于盼到瑞星卡卡助手升级到：产品版本：3.0.0.7，特征库版本：3.0.0.4。
第一步：我首先暂时停止瑞星杀毒软件所有监控，然后下载流氓软件-雅虎助手，使用其插件管理功能暂时禁用所有IE插件功能。
第二步：我使用卡卡助手，查杀所有流氓软件(雅虎助手暂时保留)，其中发现有使用“金钟罩”Rootkits强大对付反病毒软件技术的“彩信通”等几个流氓软件，全部消除，恢复瑞星监控，立即重新启动机器，试打开各个驱动器和文档、上网浏览，没有再出现病毒，病毒的“根基”。
终于被完全消除。
痛快啊!!
最后在控制面板中御载流氓软件雅虎助手，之后再用卡卡助手彻底御载雅虎助手的残留部分(否则雅虎助手御载不完全)，重启电脑，OK!
注意：我的电脑的此病毒可能是最新的彩信通流氓软件变种产生，中病毒电脑在系统服务中找不到jmediaservice服务，即使在安全模式下也没有发现C:\windows\system32 Albus.DAT和C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，使人无从下手，最后只有苦苦等待反流氓软件升级了!
不管什么样终于干掉它了!几天下来，卡卡的功能在不断成长和强大!
最后还是要谢谢各位的建议!!
………………

雅虎助手这老流氓终于有了点用处

瑞星卡卡安全论坛