Rootkit.win32.Vanti.bc该怎么杀?

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Rootkit.win32.Vanti.bc该怎么杀?

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 2 页

跳转页

rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:	发表于： 2006-02-22 09:39 \| 只看楼主短消息资料字号：小中大 11楼文件关联 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\system32\winhlp32.exe %1] .INI OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}]
rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-02-22 09:57 \| 短消息资料字号：小中大 12楼 [Gray_Pigeon_Server2.0 / GrayPigeonServer2.0] <C:\WINDOWS\G_Server2.0.exe><N/A> 这是灰鸽子详情参考http://forum.ikaka.com/topic.asp?board=28&artid=7713905 ＝＝＝＝＝＝＝＝＝＝＝＝＝ C:\WINDOWS\TEMP\r8auoqll.dll是Rootkit木马也就是Rootkit.win32.Vanti.bc C:\WINDOWS\TEMP\r8auoqll.dll已经插入到如下进程中： C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe f:\瑞星防火墙\rising\rfw\rfwsrv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE 建议参考：下载安装SSM 在SSM中添加规则禁止C:\WINDOWS\TEMP\r8auoqll.dll加载将SSM设置为“自动加载” 重启后删除C:\WINDOWS\TEMP\r8auoqll.dll 注意： SSM就是System Safety Monitor 支持中文官方下载http://www.syssafety.com/ 若不会使用可以搜索并参考一下baohe版版的相关贴子另外再用icesword查找并删除可疑的.sys文件注意不要误删否则后果自负遇到可疑的文件时若自己不了解或不能断定就是病毒木马时最好用百度搜索一下该文件的详细信息 OK？
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:	发表于： 2006-02-22 11:04 \| 只看楼主短消息资料字号：小中大 13楼去http://www.syssafety.com/ 看了下,可惜是英文,不认得一个.有简单点的么?或者中文的? 谢谢.
rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:

rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:	发表于： 2006-02-22 12:58 \| 只看楼主短消息资料字号：小中大 14楼想删除C:\WINDOWS\TEMP\r8auoqll.dll, 删不了,不让删,进安全模式删了,开机有这个文件.
rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:

社区嘉宾

发表于： 2006-02-22 15:22 | 短消息资料

字号：小中大 16楼

引用:

【rrrabc的贴子】想删除C:\WINDOWS\TEMP\r8auoqll.dll,
删不了,不让删,进安全模式删了,开机有这个文件.

...........................

进入DOS下查杀
或直接进入DOS下删除

好好参考我的回贴
若不会用SSM
搜索并参考baohe版版的贴子

我已经给你说的很详细了

初生襁褓狮

发表于： 2006-02-22 17:16 | 只看楼主 短消息资料

字号：小中大 17楼

引用:

【不言放弃的贴子】
进入DOS下查杀
或直接进入DOS下删除

好好参考我的回贴
若不会用SSM
搜索并参考baohe版版的贴子

我已经给你说的很详细了
非常感激你,可我是菜鸟,还不知道进DOS

...........................

rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:	发表于： 2006-02-22 18:11 \| 只看楼主短消息资料字号：小中大 18楼【回复“不言放弃”的帖子】我想学习一下进DOS删除文件,麻烦你告诉我进DOS输入什么详细命令.比如打什么,回车,再打,回车…… 谢谢你了。
rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:

rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:	发表于： 2006-02-22 22:02 \| 只看楼主短消息资料字号：小中大 19楼麻烦你告诉我进DOS输入什么详细命令
rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:

rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:	发表于： 2006-02-23 09:33 \| 只看楼主短消息资料字号：小中大 20楼唉,好不容易找到了病毒,却不知道手工清除. 没办法,重装系统算了. 还是要谢谢七彩黄花菜萱草与不言放弃的帮助.谢谢.
rrrabc 初生襁褓狮帖子:23 注册: 2006-02-21 来自:

2 / 2 页

跳转页