yzxd - 2008-8-22 17:57:00
我的系统是XP的,发现RootKit.Win32.RESSDT.cs病毒后,每次用瑞星查杀,都说杀掉了,但开机后重新出现。路径是C:\windows\system 32\drivers raspapi.sys。
该如何将其彻底杀灭?恳请各位大虾指点,不胜感激!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
aaccbbdd - 2008-8-22 17:58:00
1.扫日志前关闭无用进程,如QQ,迅雷及播放器程序
2.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.htmlSREng/智能扫描
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
3.
为了最大程度减少对病毒的误判,和对病毒准确定位,最好同时上传金山清理专家日志下载金山清理专家
http://www.duba.net/qing/金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告
(4.
如都以上软件无法正常运行
尝试该版本SRENGhttp://bbs.ikaka.com/showtopic-8517758.aspx)
如2.6的能用,还是用2.6的5.
2份日志/报告以附件上传,贴到反病毒区
yzxd - 2008-8-24 14:06:00
按照您说的程序,上传两个附件如下,咱基本属于菜鸟,弄得不对的地方,您多指点!
附件:
SREngLOG.log 附件:
Report.txt
文物2 - 2008-8-24 15:16:00
用xdelbox重启后删除
C:\WINDOWS\system32\Wintemp.dll
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\netscm.dll
c:\windows\System32\QCONSVC.EXE
c:\windows\System32\drivers\TDSMAPI.SYS
c:\windwos\System32\drivers\Tppwrif.sys
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\AIBMRUNL.dll
C:\WINDOWS\SYSTEM32\TPSHOCKS.EXE
C:\PROGRAM FILES\THINKPAD\PKGMGR\HOTKEY\TPHKMGR.EXE
C:\PROGRAM FILES\THINKPAD\UTILIT~1\EZEJMNAP.EXE
C:\PROGRAM FILES\THINKPAD\PKGMGR\HOTKEY\TPONSCR.EXE
C:\PROGRAM FILES\THINKPAD\PKGMGR\HOTKEY_1\TPSCREX.EXE
C:\PROGRAM FILES\ANALOG DEVICES\SOUNDMAX\SMAX4PNP.EXE
C:\PROGRAM FILES\IBM\MESSAGES BY IBM\IBMMESSAGES.EXE
C:\PROGRAM FILES\THINKPAD\CONNECTUTILITIES\QCTRAY.EXE
C:\PROGRAM FILES\DIGITAL LINE DETECT\DLG.EXE
用SReng删除服务
服务
[6to4 / 6to4][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Wintemp.dll><N/A>
[IBM PM Service / IBMPMSVC][Running/Auto Start]
<C:\WINDOWS\system32\ibmpmsvc.exe><N/A>
[Network Connection Manage Protocol / Nwsapagent][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\netscm.dll><N/A>
[QCONSVC / QCONSVC][Running/Auto Start]
<System32\QCONSVC.EXE><(File is missing)>
用Sreng删除服务-驱动
[TDSMAPI / TDSMAPI][Running/System Start]
<System32\drivers\TDSMAPI.SYS><N/A>
[TPPWRIF / TPPWRIF][Running/System Start]
<System32\drivers\Tppwrif.sys><N/A>
[TSMAPIP / TSMAPIP][Running/System Start]
<System32\drivers\TSMAPIP.SYS><N/A>
© 2000 - 2026 Rising Corp. Ltd.