RootKit.Win32.Mnless.yd怎么删 bbs.ikaka.com

大头怪兽 - 2008-8-3 10:57:00

电脑老是出现RootKit.Win32.Mnless.yd病毒。杀了后，再开电脑一扫还是有。请大虾们帮帮小弟。病毒路径是C:\WINDOWS\system32\drivers\jl6vmw6n.sys 谢谢了大家了

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ )

aaccbbdd - 2008-8-3 11:03:00

用杀毒软件全盘杀毒
杀到RootKit.Win32.Mnless.yd时立即按主机箱的重启键

立即重启计算机

使病毒没有时间回写

病毒就灰飞湮灭了

超级游戏迷 - 2008-8-3 11:15:00

先把SRENG日志发上来再说，注册表里应该还有个驱动程序……

aaccbbdd - 2008-8-3 11:40:00

引用:

原帖由 超级游戏迷 于 2008-8-3 11:15:00 发表
先把SRENG日志发上来再说，注册表里应该还有个驱动程序……

据阳光说是病毒从内存回写至硬盘？

已成过去 - 2008-8-3 12:28:00

引用:

原帖由 aaccbbdd 于 2008-8-3 11:40:00 发表

引用:

原帖由 超级游戏迷 于 2008-8-3 11:15:00 发表
先把SRENG日志发上来再说，注册表里应该还有个驱动程序……

据阳光说是病毒从内存回写至硬盘？

果真是这样的话。。。。会死很多人。。:default2:

大头怪兽 - 2008-8-3 15:20:00

引用:

原帖由 aaccbbdd 于 2008-8-3 11:03:00 发表
用杀毒软件全盘杀毒
杀到RootKit.Win32.Mnless.yd时立即按主机箱的重启键

立即重启计算机

使病毒没有时间回写

病毒就灰飞湮灭了

照你的办法弄了。可一扫描还是有啊

大头怪兽 - 2008-8-3 15:25:00

引用:

原帖由 超级游戏迷 于 2008-8-3 11:15:00 发表
先把SRENG日志发上来再说，注册表里应该还有个驱动程序……

附上

附件: SREngLOG.log (2008-8-3 15:25:02, 42.84 K)
该附件被下载次数 132

超级游戏迷 - 2008-8-3 15:33:00

1、运行SRENG扫描工具，启动项目--服务--驱动程序，删除以下项：
[jl6vmw6 / jl6vmw6n][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jl6vmw6n.sys><N/A>

2、重启电脑，运行WINRAR压缩工具，寻找和删除以下文件(找不到就算了)：
c:\windows\System32\DRIVERS\jl6vmw6n.sys

3，完成后再重启电脑一次，扫描新日志上传。

大头怪兽 - 2008-8-3 16:08:00

引用:

原帖由 超级游戏迷 于 2008-8-3 15:33:00 发表
1、运行SRENG扫描工具，启动项目--服务--驱动程序，删除以下项：
[jl6vmw6 / jl6vmw6n][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jl6vmw6n.sys><N/A>

2、重启电脑，运行WINRAR压缩工具，寻找和删除以下文件(找不到就算了)：
c:\windows\Syst

附上。另外，刚有扫描到病毒了。

附件: SREngLOG.log

aaccbbdd - 2008-8-3 16:17:00

开始-运行
dllcache
文件夹里找到logonui.exe
用其覆盖
system32文件夹的同名文件
删除文件
C:\windos\System32\DRIVERS\jl6vmw6n.sys
用http://bbs.ikaka.com/showtopic-8442813.aspx
6楼的附件费尔木马强力清理助手（解压后运行，对病毒文件删除文件并强力抑制再生）
删除驱动
[jl6vmw6 / jl6vmw6n][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jl6vmw6n.sys><>
删除浏览器加载项
[]
{00000000-12C9-4305-82F9-43058F20E8D2} <, >
[]
{06926B30-424E-4F1C-8EE3-543CD96573DC} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <, >
[]
{962EFB8E-2683-42D4-AC74-AAA4C759B9C6} <, >
[]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <, >

大头怪兽 - 2008-8-3 16:44:00

还是有........

aaccbbdd - 2008-8-3 16:49:00

抑制了还再生？真顽固
下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

大头怪兽 - 2008-8-3 18:00:00

引用:

原帖由 aaccbbdd 于 2008-8-3 16:49:00 发表
抑制了还再生？真顽固
下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
[url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/u......

查不出。可一重启。用瑞星一扫又有了

大头怪兽 - 2008-8-3 18:09:00

最奇怪的是，文件已经找不到了。可一杀毒还是有......

天月来了 - 2008-8-3 18:27:00

文件在不在不时随意看看的

得用解压工具WinRAR依路径打开看。

还有杀毒历史记录导出后压缩发来

看看都有些什么东西

外加最新日志

大头怪兽 - 2008-8-4 9:53:00

引用:

原帖由 天月来了 于 2008-8-3 18:27:00 发表
文件在不在不时随意看看的

得用解压工具WinRAR依路径打开看。

还有杀毒历史记录导出后压缩发来

看看都有些什么东西

外加最新日志

东西全部奉上，用WINRAR可以找到文件，无法删除。用SRENG找不到驱动程序了。用费马无法找到

附件: dd.rar

附件: SREngLOG.log

aaccbbdd - 2008-8-4 9:58:00

1.开始-运行
dllcache
找到
logonui.exe
用其替换system32文件夹的同名文件
2.C:\windos\System32\DRIVERS\bb-run.sys
自己测下http://www.virscan.org/
http://www.virustotal.com/zh-cn/
3.试试开机查杀
开机查杀设为全盘扫描

大头怪兽 - 2008-8-4 11:08:00

重装系统能好吗？太烦了。怎么也杀不掉

为什么是马甲 - 2008-8-4 11:14:00

首先,用windows清理助手清理下

用SRE删除驱动项,

用冰刃删除病毒文件

按住机箱上的关机键不松,直至关机

然后再开机看下....

天月来了 - 2008-8-4 11:22:00

这里官网下载冰刃，在“文件”中找那文件强制删除：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

瑞星卡卡安全论坛