瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » RootKit.Win32.Undef.ex是什么病毒呀,杀不完。求助
yihengwu - 2008-4-13 18:23:00
搞了二天搞不懂它是什么病毒,杀也杀不完。郁闷中。求助高手帮忙~~!~!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ )
天月来了 - 2008-4-13 18:25:00
就一个???还是一堆???

从来求助的都不说详细情况,包括病毒文件名和路径


扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe  ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

你可以打开日志后,在左上角的“编辑”里选择“全选”再选择“复制”
就可以彻底复制日志内容到另一个空记事本保存了
yihengwu - 2008-4-13 18:26:00
一大堆。。。
天月来了 - 2008-4-13 18:46:00
真急死人了

就说句:“一大堆”然后就没动静了。

我要你扫的日志呢???????

唉...............

真无奈

我下班了

你发好日志,等他们给你看吧。
yihengwu - 2008-4-13 19:03:00
大哥。。不要这样呀。。我刚吃饭去呀。。我现在就去发给你。。。不要走呀。!!!!!
yihengwu - 2008-4-13 19:24:00
引用:
【天月来了的贴子】就一个???还是一堆???

从来求助的都不说详细情况,包括病毒文件名和路径


扫SRENG日志发论坛来

下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe  ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

你可以打开日志后,在左上角的“编辑”里选择“全选”再选择“复制”
就可以彻底复制日志内容到另一个空记事本保存了
………………



附件: 10397862008413191210.txt
天月来了 - 2008-4-14 8:40:00
==================================
正在运行的进程
[PID: 1472 / SYSTEM][C:\APACHE\Apache.exe]  [N/A, ]
    [C:\APACHE\ApacheCore.dll]  [N/A, ]
    [C:\APACHE\Win9xConHook.dll]  [N/A, ]
[PID: 1504 / SYSTEM][C:\APACHE\Apache.exe]  [N/A, ]
    [C:\APACHE\ApacheCore.dll]  [N/A, ]
    [C:\APACHE\Win9xConHook.dll]  [N/A, ]
上面这是什么???你用的???
————————————————————————————————————————————
这里下载360文件粉碎工具,删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html

C:\WINDOWS\system32\F16610C6.EXE
C:\DOCUME~1\LUCKYS~1\LOCALS~1\Temp\tmp9.tmp
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys

——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,
==================================
服务
[A452365E / A452365E][Stopped/Auto Start]
  <C:\WINDOWS\system32\F16610C6.EXE -d><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\LUCKYS~1\LOCALS~1\Temp\tmp9.tmp><N/A>

[msfpfis64 / msfpfis64][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
——————————————————————————————————————————
你那HOSTS文件折腾的可真狠,呵呵!!!

————————————————————————————————————
再重启电脑,反复检查,操作删除,

————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。

下载卡卡助手,清理你那系统。

记得打打系统漏洞补丁

清空IE缓存,清空临时文件夹。

这 里 下 载 W i n d o w s 清 理 助 手 ,清理你那系统。
http://www.arswp.com/

既然一大堆,将你的杀毒历史记录导出后压缩发来看看。

或者重启杀毒无异常,就行了。
yihengwu - 2008-4-14 9:06:00
天月大哥。。太感谢你了。。。。小弟现在就去试试。。。
yihengwu - 2008-4-14 11:40:00
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,
==================================
服务
[A452365E / A452365E][Stopped/Auto Start]
<C:\WINDOWS\system32\F16610C6.EXE -d><N/A>
这个我找不到呀???
日不懂啊 - 2008-4-14 11:51:00
引用:
【yihengwu的贴子】在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,
==================================
服务
[A452365E / A452365E][Stopped/Auto Start]
<C:\WINDOWS\system32\F16610C6.EXE -d><N/A>
这个我找不到呀???
………………


选择隐藏微软默认的服务

然后再找
天月来了 - 2008-4-14 11:56:00
很多东西,自己得耐心找。

总不成要我一步一步的说嘛。

实在不会找,就看我的置顶贴
yihengwu - 2008-4-14 12:18:00
大哥求你们呀。。我找了一早上还是找不到。。我还有一台没搞的。。帮帮忙呢。。

在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,
==================================
服务
[A452365E / A452365E][Stopped/Auto Start]
<C:\WINDOWS\system32\F16610C6.EXE -d><N/A>

天月来了 - 2008-4-14 13:52:00
实在没有,就算了。

操作完其他的,全盘杀毒无异常就行了。
豪斯登堡新郎 - 2008-4-14 14:05:00
开始  运行 regedit  打开注册表编辑器后查找A452365E  找到删不了  下载冰刃 同样路径找到 删除
yihengwu - 2008-4-14 14:26:00
谢谢13楼的大哥。。。我找到呀。。。。
天月来了 - 2008-4-14 14:52:00
实际上所谓的下面项,
==================================
服务
[A452365E / A452365E][Stopped/Auto Start]
<C:\WINDOWS\system32\F16610C6.EXE -d><N/A>

就是只看sreng工具的服务名部分找  A452365E / A452365E 

难道真的找不到???上下拉那滚动条,看遍了也没有???

好象不容易见到这现象,以后看来得注意了。

附件: 8390772008414145355.jpg
yihengwu - 2008-4-14 15:02:00
我汗~!~!~!
天月来了 - 2008-4-14 15:06:00
呵呵!!!

我和你一起汗!!!!!

刚才忘记贴图了。
yihengwu - 2008-4-14 15:17:00
不要汗先。。。我那台没有上网的电脑我,任务管理器给管理员停用了。。。。我大汗~·~·!
天月来了 - 2008-4-14 15:21:00
怎么重新启动,我忘记了。

你去系统软件区求助吧。
yihengwu - 2008-4-14 15:29:00
小汗。。。早说嘛。。。。搞了半天那个任务管理器还是不出来。我烦死了。。。我去那里问下。。。。谢天月呀。。。。
天月来了 - 2008-4-14 15:43:00
http://forum.ikaka.com/list.asp?board=3

不过很冷清

不定能等到人回你。

还是百度试试吧

苦命僧 - 2008-4-14 16:17:00
路过,瞄一眼顺带学习,感觉挺有趣
yihengwu - 2008-4-14 16:55:00
天哥。。。。我仲于搞好了那个烦人的任务管理器了。。。出了一身汗~!~!!
天月来了 - 2008-4-14 17:04:00
怎么弄的??

管理工具?还是注册表里???
yihengwu - 2008-4-14 17:12:00
天哥你都不知道呀???在管理工具里面。
1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开

"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项

4、在该列表中打开 删除“任务管理器” 的属性
5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。

注:该策略的效果为,“任务栏”上的右键菜单上的“任务管理器”呈不可点击状,而按下组合键Ctrl+Alt+Del之后会弹出题目为“任务管理器”的对话框,内容是“任务管理器已被系统管理员停用”。
天月来了 - 2008-4-14 17:15:00
呵呵!!!

我说忘记了嘛

我老记不住

1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开

"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项

4、在该列表中打开 删除“任务管理器” 的属性
5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。

这些顺序你要我一个一个字打出来

我没本事的。

哈哈!!!!

所以一贯这些都建议百度的。
yihengwu - 2008-4-14 17:29:00
.................汗~!~!
1
查看完整版本: RootKit.Win32.Undef.ex是什么病毒呀,杀不完。求助
© 2000 - 2026 Rising Corp. Ltd.