RootKit.Win32.Undef.js bbs.ikaka.com

yys930 - 2008-6-24 8:53:00

我的电脑从上周开始一开机就会被瑞星提示中RootKit.Win32.Undef.js，路径越来越多，以下是今天早上出现的信息。
路径：C:\DOCUME~1\wupeng\LOCALS~1\Temp\~fr2
病毒名称：RootKit.Win32.Undef.js
遵照天月指示，在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”，并且删除掉temp里所有的文件，可是再次开机病毒提示依然会出现~~~
今天在360求助中心看到有人说这是QQ病毒，需要卸载QQ解决，由于这些天已经尝试了N多方法均未见效，实在是不想病急投医胡乱尝试了，恳请各位版主尽快提供一个切实可行的方法，非常感谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 1.1.4322)

小日来了 - 2008-6-24 8:58:00

是什么网络环境？

byxxdrls - 2008-6-24 8:58:00

建议使用费尔木马强力清除助手http://dl.filseclab.com/down/powerrmv.zip http://www.xpi386.com/tools/PowerRmv.rar）删除C:\DOCUME~1\wupeng\LOCALS~1\Temp\~fr2,勾选“抑制生成”（临时解决方法）。

yys930 - 2008-6-24 9:12:00

网络环境？版主是问系统吗？我用的是Windows XP。
不清楚这到底是不是QQ引起的病毒，我用的是腾讯ＴＭ，现在都不敢运行了。恳请版主支招！

yys930 - 2008-6-24 9:14:00

byxxdrls,谢谢你的建议。不过由于这个病毒的路径是在是太多，一个个勾选下去也没有办法解决实质问题啊，哎，头疼。

byxxdrls - 2008-6-24 9:22:00

你不妨把这个病毒文件传上来，让我来运行一下，也让会脚本语言的人给你分析一下。

yys930 - 2008-6-24 9:44:00

byxxdrls,我下了费尔，可是执行重启后用瑞星一扫C盘又出现了将近20个RootKit.Win32.Undef.js！！数量达到一周之最。。。555。。。。路径基本上都在C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\P5ZS17Q7，你让我上传这个病毒文件，可以告诉我具体的上传方法吗？不好意思……

天月来了 - 2008-6-24 9:50:00

扫SRENG日志发这论坛来
下载新SRENG2.6版工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=405754（点右键菜单“目标另存为”下载）

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告（必须保存）

然后直接将日志文件以附件的形式发这论坛来。
点击：我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了。

（注意：SRENG工具的“入口点错误”提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

byxxdrls - 2008-6-24 9:51:00

编辑一下自己的帖子就可以上传了。关键是找到这个病毒可能有点困难。另外建议你在“运行”中输入sigverif看一下哪些系统文件没通过数字签名验证。第三个建议：下载一个检测rookit的程序检测一下系统http://www.sysinternals.com/Files/RootkitRevealer.zip。第四个建议：在安全模式下扫个报告试试。

yys930 - 2008-6-24 11:01:00

天月，那个补丁我前几天已经下过了，刚才用360检测，系统现在没有缺失的补丁。附上我的检测报告，谢谢！

附件: SREngLOG.log

byxxdrls - 2008-6-24 11:08:00

看了几个类似的报告，似乎从报告中看不出来。天月再看看。

1.建议使用XDelBox（或费尔木马强力清除助手http://dl.filseclab.com/down/powerrmv.zip http://www.xpi386.com/tools/PowerRmv.rar）删除以下文件：(XDelBox1.7下载)
xdelbox使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择“从剪贴板导入不检查路径”，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\hkaxrxy6.sys
c:\windows\system32\drivers\bdguard.sys
c:\windows\system32\drivers\9rsesm9.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项禁用：
[hkaxrxy6 / hkaxrxy6] <\SystemRoot\system32\drivers\hkaxrxy6.sys>
[BdGuard / BdGuard] <\SystemRoot\system32\drivers\BDGuard.SYS>
[9rsesm / 9rsesm9] <\SystemRoot\System32\DRIVERS\9rsesm9.sys>

**************以上分析报告由SREngLog分析助手提供******************
分析：byxxdrls
时间：2008-6-24
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

yys930 - 2008-6-24 11:32:00

谢谢byxxdrls&天月：
这是我在安全模式（无网）下扫描的报告，请参考，谢谢！
PS：这两天毒没杀掉，各路人马推荐的相关软件下了一箩筐，现在真的是有点手足无措了，呵呵，谢谢大家帮忙：）

附件: SREngLOG_Safety Mode.log

yys930 - 2008-6-24 12:29:00

我的报告——烦请各位前辈午休过后拨冗一阅~~~~~谢谢！

为什么是马甲 - 2008-6-24 12:35:00

该删的都还在...
重新操作一遍

yys930 - 2008-6-24 13:04:00

马甲。。。什么/哪些是该删的啊？
ps:帖子置顶真的好辛苦啊，各位大侠快快指点一二吧……我请你们吃大连烤鱿鱼。。。

byxxdrls - 2008-6-24 14:12:00

引用:

原帖由 yys930 于 2008-6-24 13:04:00 发表
马甲。。。什么/哪些是该删的啊？
ps:帖子置顶真的好辛苦啊，各位大侠快快指点一二吧……我请你们吃大连烤鱿鱼。。。

我叫你删的文件还在，比如那个c:\windows\system32\drivers\bdguard.sys。另外两个不知原来在不在，如果不在，也应该删除相应的驱动项啊。

这样处理过后，估计还是不能解决你的问题。因为我看了几个帖子，你的这个问题从报告中看不出问题所在。

byxxdrls - 2008-6-24 14:47:00

听说有人用windows清理助手解决了这个问题。

yys930 - 2008-6-24 16:42:00

晕啊，我已经删过了，刚才又删了一遍。
已经把瑞星升到20.50.10了，刚才重启居然没有看到那个如影随形一个星期的RootKit.Win32.Undef.js！中午还扫除20个呢！也不知道是不是暂时的和平假象。。。继续观察！感谢楼上各位的帮助，byxxdrls（非常感谢），马甲，还有让我发报告但是不帮我看报告的天月~~

天月来了 - 2008-6-24 17:16:00

下面的都不认识，自己去看
启动项目
注册表
<BlueCrabClock><D:\WinClock Plus\WinClock Plus.exe> [File is missing]
<BlueCrabDesktop><D:\WinClock Plus\TheDesk.scf> [File is missing]
<DeskTopTime><D:\\DeskTopTime.exe> [File is missing]
==================================
服务
[OracleOraHome81ClientCache / OracleOraHome81ClientCache][Stopped/Manual Start]
<c:\Oracle\Ora81\BIN\ONRSD.EXE><N/A>
————————————————————————————————————————————————
这里官网下载冰刃，在“文件”中找下面文件强制删除：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

删除：
C:\WINDOWS\System32\DRIVERS\9rsesm9.sys
C:\WINDOWS\system32\drivers\BDGuard.SYS
C:\WINDOWS\system32\drivers\hkaxrxy6.sys
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[9rsesm / 9rsesm9][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\9rsesm9.sys><N/A>

[BdGuard / BdGuard][Running/Boot Start]
<\SystemRoot\system32\drivers\BDGuard.SYS><>

[hkaxrxy6 / hkaxrxy6][Stopped/Boot Start]
<\SystemRoot\system32\drivers\hkaxrxy6.sys><N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=386491

用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

其他任何个人软件的异常，都可能需要卸载重装了。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

瑞星卡卡安全论坛