1   1  /  1  页   跳转

RDRIV.SYS 阴魂不散

RDRIV.SYS 阴魂不散

昨天单位好几台电脑中招,也是Trojan.Rootkit.k,它在system32里面创建了rdriv.sys文件,瑞星不停的提示杀毒成功(删除成功,文件rdriv.sys,病毒名Trojan.Rootkit.k);打开文件的时候一点下拉箭头该软件就死了;这时候任务管理器失效,打开多少就在右下角出现多少框框;一开始热启动还有用,现在不但不能热启动,就连关机也不行了,只能冷启和强制关机,而且重启它会来两次!!现在已经发展到一开机就自动重启。要重启好几次才能进入系统。
我已经被这病毒给搞得头晕眼花了,位版主,高手们,帮忙救救命吧!!!
最后编辑2005-07-25 15:33:47
分享到:
gototop
 

我公司的电脑也中了,没影响到网速,只是一些内部网站上不去。杀也杀不了
gototop
 

用HijackThis扫描了一份日志,请各位高手帮忙看一下问题出在那里。先行谢谢了。



HijackThis@Qoo的扫描日志  V1.97.7
Scan saved at 16:26:31, on 2005-7-22
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\conime.exe
d:\Program Files\rising\Rav\RavTimer.exe
d:\Program Files\rising\Rav\RavMon.exe
D:\Program Files\rising\Rav\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
H:\hijackthis1.97\HijackThis.exe

O1 - Hosts: 134.209.9.46 beihai.telco.gx.cn
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SysExplr] C:\HEROSOFT\Hero3000\SysExplr.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: AdobeWeb.log
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 解霸实时播放 - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: QQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O15 - Trusted Zone: http://beihai.telco.gx.cn
O16 - DPF: {39132342-DCB1-47F7-9E5A-DF495DF5C6EE} (WebWord Control) - http://beihai.telco.gx.cn/ContentControl.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122018372937
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B4FE490-3AD5-4489-8094-C0F1F8713121}: NameServer = 10.139.129.3,202.103.224.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B4FE490-3AD5-4489-8094-C0F1F8713121}: NameServer = 10.139.129.3,202.103.224.68

gototop
 

O1 - Hosts: 134.209.9.46 beihai.telco.gx.cn
修复
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Startup: AdobeWeb.log
O4 - Startup: NTUSER.DAT
O15 - Trusted Zone: http://beihai.telco.gx.cn
O16 - DPF: {39132342-DCB1-47F7-9E5A-DF495DF5C6EE} (WebWord Control) - http://beihai.telco.gx.cn/ContentControl.ocx

O9 - Extra button: Related (HKLM)

O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
这个016项不知道是链的什么东西,自己知道就不修.
你的第023项怎么没贴出来.
gototop
 

不好意思。前两天出差没有时间上网。
我用软件就只能扫到这么多项目出来,没有其它项目了。
高手们。HELL ME
gototop
 

引用:
【现在进行时的贴子】
你的第023项怎么没贴出来.
...........................



日志版半太旧

gototop
 

016是一个插件.建议删除掉,
没有用,是浏览网页时自动下载的.
还有同意楼上的说法,1.97.7太老了.
下个新的吧
gototop
 

rootkit木马查杀实录
http://forum.ikaka.com/topic.asp?board=28&artid=6787830
gototop
 

现在还没有一套软件可以把这个病毒杀掉,我已经用过不下十个杀毒软件都没有,不能杀也不能防,而现在我有一个可以暂时可以防御的方法,就是到安全模式内!用查询的方式找出rdriv.sys后把它删除,然后在c:\winnt\system32内建立一个文件名称为rdriv.sys(和病毒名称一样)打开属性把文件改为只读,这样做可以暂时解决这个病毒的问题,我这样做了后电脑可以共享文件和打印机了,如有这个病毒的防毒软件请通知!
                       谢谢!!!!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT