瑞星卡卡安全论坛

我家电脑中了这个 RootKit.Win32.Mnless.vt 病毒。。

杀完开机又来了，安全模式下又扫描不出，普通的又能扫描出。 怎么办啊。我快杀疯了，这是路径C:\WINDOWS\system32\drivers\HBKernel.sys

怎么做啊。5555555555问题补充：3掉文件会影响正常运行吗？而且我是叫瑞星删除染毒文件的，难道这个不是染毒文件吗？

而且3不掉，安全模式也3不掉。

那个超级巡警MS扫描不出来~~~T.T

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59  from: http://bsalsa.com/ )

扫日志前关闭无用进程，如QQ，迅雷

到大的软件站，如天空，太平洋，下载2.6正式版版的SReng（推荐）

http://www.skycn.com/soft/45002.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)
日志以附件上传，贴到反病毒区或流行病毒区
PS：如主程序SREng**.exe无法运行,导致无法扫描日志

将主程序改名为小狮子.bat

病毒客户端是wdm.exe`文件存在于C:\WINDOWS\system32\wdm.exe.用瑞星查这个文件是查不出毒的``
C:\WINDOWS\system32\drivers\usbinte.sys这个才是有毒的文件...是wdm.exe利用拨号加载的...
首先,禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载(TIMPlatfrom.exe、TIMPlatform.exe这两个文件存在与QQ主目录下..现已被病毒覆盖)
然后,删除wdm.exe`清理注册表
注册表清理方法:开始→运行→输入Regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run删掉那个与wdm.exe有关的键值..OK了`重起...
最后,卸载QQ重新安装。

这是典型的Rootkit病毒，而且还是驱动型。目前很多杀毒软件都做的很不好，在这一方面。推荐你使用超级巡警进行查杀，在这一方面它很强大，而且免费。配合杀毒软件很不错。如果你动手能力不错，推荐你试一下：wsyscheck这款软件

可是超级巡警扫描不出来啊

和QQ又关系？

一.请先使用WINDOWS清理助手清理一下系统
二.请下载一个置顶贴里的SRENG工具
使用它扫描日志，将日志作为附件上传上来。
操作方法：
1、下载后解压缩，运行SREngLdr.exe；
2、如果无法打开尝试把SREngLdr.exe改名为123.com运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】，存为TXT格式；
5、将保存的报告附件上传而不是粘贴到帖子
注意：
扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等一切应用程序，扫描完毕后操作

这样对吗？

附件: SREngLOG.log

删除 方法见http://bbs.ikaka.com/showtopic-8442813.aspx
c:\windows\system32\drivers\zpcabx.sys
c:\windows\system32\drivers\ntdapi.sys
c:\windows\system32\drivers\qabop.sys
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\hbkernel.sys
c:\windows\system32\drivers\cxyqr.sys
c:\windows\system32\drivers\bzpcax.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[dpvvoxmh.dll]    <>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[zpcabx / zpcabx]    <\??\C:\WINDOWS\system32\drivers\zpcabx.sys>
[Ntdapi / Ntdapi]    <\??\C:\WINDOWS\system32\drivers\ntdapi.sys>
[qabop / qabop]    <\??\C:\WINDOWS\system32\drivers\qabop.sys>
[nlhef / nlhef]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
[gdazz / gdazz]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[cxyqr / cxyqr]    <\??\C:\WINDOWS\system32\drivers\cxyqr.sys>
[bzpcax / bzpcax]    <\??\C:\WINDOWS\system32\drivers\bzpcax.sys>
用附件修复劫持项

附件: 机器狗%26映像劫持修复工具.rar

打开SRE--启动项目--注册表删除
    <{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\WINDOWS\system32\wyrsdj.dll>  [File is missing]
编辑<Userinit><C:\WINDOWS\system32\userinit.exe,svchost.xy3>
的值为<C:\WINDOWS\system32\userinit.exe,>

显示隐藏文件，搜索svchost.xy3文件删除，找不到忽略

我是这么做的，可是没用。。。依然可以杀出这个毒来

额。。米找到这个注册表项。。

12楼是回复10楼的

请问楼主是怎样删除的文件
再扫分新的日志看看

哦，好的。你等等

删除文件是用你给的帖子的3楼给的方法

这是新的

附件: SREngLOG.log

对了，这个病毒又什么危害呢？

那个病毒是个盗号木马 会盗取你的密码
奇怪了
日志里那些驱动都删掉了
报毒路径那个文件也删除了
还是报那个路径有病毒吗
只剩下注意该项[Userinit]修改：把<C:\WINDOWS\system32\userinit.exe,svchost.xy3>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略
这个注册表项还没改
运行sreng点启动 按它给的提示改过来就好了

[HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>
这个驱动还在运行。。。

先改再运行？

前面那个文件页有逗号，是2个文件还是一个？

:default20: 刚才居然看漏了这个

删除c:\windows\system32\drivers\hbkernel.sys
用那个工具的时候记得把抑制再生那项也选上

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
刚才的注册表项sreng会提示你怎样改 改不对它会不断提示的 直到改对了
svchost.xy3这个文件 最好找一下 找到确切路径删除 不然怕那个驱动还删不掉

[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>

这个我删了3遍了，每次启动回来又在那里，我都晕了

我也晕了
说：找一张WinPE光盘，利用光盘引导进入PE系统，然后从“我的电脑”到Windows/system32/drivers路径下，找到HBKernel.sys，直接删除，进入系统就可以了
又说：用windows清理助手就行

把<C:\WINDOWS\system32\userinit.exe,svchost.xy3>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

这一步如何操作？。。。

偶比较白痴

应该先改了注册表里的自启动项目

在sreng里
点启动
sreng就会提示你那项被修改为非正常值 并将那项标明为红色
选中 那项 点编辑 把它的值修改好

哦，搞定了

谢谢开心101，谢谢所有帮忙的人，谢谢大家