瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 rootkit木马查杀实录

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

7 / 18 页

跳转页

rootkit木马查杀实录

Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:	发表于： 2005-07-19 14:22 \| 短消息资料字号：小中大 61楼【回复“misstykita”的帖子】同感：killbox在普通模式下无法删除时，可以用替换后重启模式删除文件，就可以了。有时avp无法清除的病毒，也要从启电脑后才能清除。
Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:

瑞星客户俱乐部会员

发表于： 2005-07-19 14:30 | 短消息资料

字号：小中大 62楼

引用:

【baohe的贴子】
第一个：没见过。
第二个：诺顿的东东。
...........................

我把edakin.exe打包上传，你检查下是水是病毒、木马什么的。我的avp不报。

大版主

发表于： 2005-07-19 14:34 | 只看楼主 短消息资料

字号：小中大 63楼

引用:

【Handsome_001的贴子】【回复“misstykita”的帖子】
同感：killbox在普通模式下无法删除时，可以用替换后重启模式删除文件，就可以了。
有时avp无法清除的病毒，也要从启电脑后才能清除。

...........................

实际上，这是一个杀软（或工具软件）与病毒争夺系统控制权的问题。重启，相当于径赛起点的发令枪声；而杀软、工具软件、病毒等程序则相当于参加赛跑的运动员。谁跑得快（启动加载抢先一步），谁就能获胜（获得系统控制权）。本质上就是这么回事。

大版主

发表于： 2005-07-19 14:39 | 只看楼主 短消息资料

字号：小中大 64楼

引用:

【Handsome_001的贴子】
我把edakin.exe打包上传，你检查下是水是病毒、木马什么的。我的avp不报。
...........................

解压密码？我填virus——错。

Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:	发表于： 2005-07-19 15:15 \| 短消息资料字号：小中大 65楼【回复“baohe”的帖子】密码可能是：1
Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:

Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:	发表于： 2005-07-19 15:22 \| 短消息资料字号：小中大 66楼【回复“baohe”的帖子】我没加密码，在我的机子可以解开也不用填密码。难道是软件自动加的密码。密码可能是：1
Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:

Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:	发表于： 2005-07-19 15:36 \| 短消息资料字号：小中大 67楼 edakin.exe我运行后avp马上报C:\WINDOWS\SYSTEM\msdirectx.sys是个rootkit.win32.agent.l病毒。删edakin.exe后，又用DllCompare查出以下内容： * DLLCompare Log version() Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM\pfewlq.exe Wed May 5 1999 22:22:00 ..SHR 220,333 215.17 K C:\PROGRA~1\SYMANTEC\PCANYW~1\PACKAGER\RESOUR~1\0000\Total of file sizes: 171,024,632 bytes 163.10 M ________________________________________________ 441 items found: 441 files (1 H/S), 0 directories. --------------------End log--------------------- 运行C:\WINDOWS\SYSTEM\pfewlq.exe 后avp又报同样的病毒。上上传一下C:\WINDOWS\SYSTEM\pfewlq.exe 附件: 文件名:2058692005719153631.rar 下载次数:0 文件类型:application/octet-stream 文件大小: 上传时间:2005-7-19 15:36:31 描述:
Handsome_001 瑞星客户俱乐部会员帖子:3701 注册: 2003-09-04 来自:

丝质流年初生襁褓狮帖子:34 注册: 2005-07-19 来自:	发表于： 2005-07-19 16:25 \| 短消息资料字号：小中大 68楼我的机器也中了rootkit，用haohe大哥的方法杀了一遍，好像没有了，但是还有一种backdoor.agod的病毒，而且电脑上网的时候总是自动连接一些英文网站，不知道怎么解决，望赐教
丝质流年初生襁褓狮帖子:34 注册: 2005-07-19 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-07-19 16:29 \| 只看楼主短消息资料字号：小中大 69楼【回复“Handsome_001”的帖子】呵呵。解压密码是：1。解开了。恭喜你！你中的就是我用的这个样本！你就“照方抓药”吧。这个后门的特点之一是——每感染系统一次，.exe的文件名都变化。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-07-19 16:31 \| 只看楼主短消息资料字号：小中大 70楼【回复“Handsome_001”的帖子】 C:\WINDOWS\SYSTEM\pfewlq.exe这个应该是病毒文件。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

7 / 18 页

跳转页