RootKit.Win32.Undef.ov杀不了 bbs.ikaka.com

昵称老是无效 - 2008-9-29 20:49:00

RootKit.Win32.Undef.ov杀不了，重启后在C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson生成一个user.dmp的文件病毒路径是C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\２０１２.ｅｘｅ》》27.sys

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

aaccbbdd - 2008-9-29 20:52:00

求助者们
你们配合下吧
回写类病毒不是单单靠杀毒软件杀毒就能搞定的

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，只清理高危险项目

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

如还不能运行尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527）
如2.6的能用，请勿使用2.4版本

4.为了最大程度减少对病毒的误判，和对病毒准确定位和判断，必须同时上传金山清理专家日志
下载金山清理专家

http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒区.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

K歌 - 2008-9-29 21:17:00

楼主可以用瑞星卡卡上网安全助手进行清理。

昵称老是无效 - 2008-9-29 21:34:00

我没有邮箱，卡卡6安不上。

昵称老是无效 - 2008-9-29 21:39:00

引用:

原帖由 aaccbbdd 于 2008-9-29 20:52:00 发表
求助者们
你们配合下吧
回写类病毒不是单单靠杀毒软件杀毒就能搞定的

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，只清理高危险项目

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
[u

附件: SREngLOG.log

附件: Report.txt

aaccbbdd - 2008-9-29 21:52:00

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm 的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys

SRENG- 启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[wmpobj / wmpobj][Stopped/Auto Start]
<\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>

昵称老是无效 - 2008-9-29 22:15:00

删什么文件呀

aaccbbdd - 2008-9-29 22:17:00

重排列了
再看看
就那个rookits病毒文件

要勾选抑制再生

昵称老是无效 - 2008-9-29 22:23:00

我先下网睡觉了

昵称老是无效 - 2008-9-30 14:17:00

我回来了，是删2012.exe吧，还删么。

昵称老是无效 - 2008-9-30 14:22:00

是删C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys吧

aaccbbdd - 2008-9-30 14:22:00

？？？
又变了？

不是C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys么

昵称老是无效 - 2008-9-30 14:42:00

点了，没反映

aaccbbdd - 2008-9-30 14:46:00

楼主看看
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
这东东还在不？
不在的话
就好说了

昵称老是无效 - 2008-9-30 14:50:00

管理员看看吧，我快郁闷死了。

昵称老是无效 - 2008-9-30 14:53:00

没了，可还有毒。

aaccbbdd - 2008-9-30 15:01:00

方案1
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\里新建名为wmpobj.sys的文件夹

如是NTFS分区
给该文件设权限
取消了everyone的全部权限

昵称老是无效 - 2008-9-30 15:19:00

没有Application Data

aaccbbdd - 2008-9-30 15:24:00

两种方法前提：
wmpobj.sys已经不存在（开机时被瑞星删除）

地址栏输入
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\么

建议使用方案二：

http://bbs.ikaka.com/showtopic-8407471.aspx
参考

防御-应用程序访问控制
系统动作限制
去掉全部√
注册表和文件访问控制
添加对象*
禁止（即触发规则时拒绝）
*对C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\的修改和写入

昵称老是无效 - 2008-9-30 16:42:00

看不懂，不知到干吗。

aaccbbdd - 2008-9-30 16:44:00

用主动防御限制病毒回写

先做
不会的话
跟帖说明

昵称老是无效 - 2008-9-30 17:09:00

搜索进的去，资源管理器进不去。

aaccbbdd - 2008-9-30 17:10:00

:default3: :default3: :default3: :default3:

建立规则这么难？
回去先熟悉瑞星去

昵称老是无效 - 2008-9-30 17:18:00

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\里只有一个空文件夹obg。

aaccbbdd - 2008-9-30 17:19:00

咦？
好，有转机

C盘NTFS的？
是不是
是的话，简单了

如不是
前面说的清楚么

规则，方法也说了
就不执行？

昵称老是无效 - 2008-9-30 18:03:00

fat32的，还是点了，还是没反应。

昵称老是无效 - 2008-9-30 18:13:00

引用:

原帖由 aaccbbdd 于 2008-9-30 17:19:00 发表
咦？
好，有转机

C盘NTFS的？
是不是
是的话，简单了

如不是
前面说的清楚么

规则，方法也说了
就不执行？

感染病毒的2012.exe文件夹里除user.dmp外还有1文挡drwtsn32.log分析一下吧

附件: drwtsn32.log

瑞星卡卡安全论坛