12   1  /  2  页   跳转

RootKit.Win32.MaChDog.a杀不完,求教

收藏
止戈为武
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2008-01-17
  • 来自:
发表于: 2008-01-17 14:50 | 只看楼主 短消息 资料
字号: 1楼

RootKit.Win32.MaChDog.a杀不完,求教

另外的现象是WINDOWS安全警报总说自动更新没打开。用卡卡查过,瑞星也是最新升级

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件附件:

下载次数:103
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-17 14:50:26
描述:

最后编辑2008-01-17 17:11:36
分享到:
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2008-01-17 15:02 | 短消息 资料
字号: 2楼


启动项目--注册表--删除
    <AVPSrv><; C:\WINDOWS\AVPSrv.exE>  [N/A]
    <cmdbcs><; C:\WINDOWS\cmdbcs.exe>  [N/A]
    <DbgHlp32><; C:\WINDOWS\DbgHlp32.exe>  [N/A]
    <Kvsc3><; C:\WINDOWS\Kvsc3.exE>  [N/A]
    <upxdnd><; C:\WINDOWS\upxdnd.exe>  [N/A]
    <WSockDrv32><; C:\WINDOWS\WSockDrv32.exe>  [N/A]

编辑    <Userinit><userinit.exe,>
为    <Userinit><C:\WINDOWS\system32\userinit.exe,>
==================================
删除驱动程序
[atidgllk / atidgllk][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Af14873\Upgrade\atidgllk.sys><N/A>
[fcdabus / fcdabus][Stopped/Boot Start]
  <\SystemRoot\system32\DRIVERS\fcdabus.sys><N/A>
[SVKP / SVKP][Running/Auto Start]
  <\??\C:\WINDOWS\system32\SVKP.sys><AntiCracking>
==================================
删除浏览器加载项
[]
  {471B15AD-7A9C-491D-9C19-4E15B12DCE00} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
==================================
删除对应的文件
gototop
 
止戈为武
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2008-01-17
  • 来自:
发表于: 2008-01-17 15:46 | 只看楼主 短消息 资料
字号: 3楼

本人菜鸟,是用SRENG修改吧。删除驱动程序和删除浏览器加载项
都找到了,并删除了。但是启动项目--注册表--删除
<AVPSrv><; C:\WINDOWS\AVPSrv.exE> [N/A]
<cmdbcs><; C:\WINDOWS\cmdbcs.exe> [N/A]
<DbgHlp32><; C:\WINDOWS\DbgHlp32.exe> [N/A]
<Kvsc3><; C:\WINDOWS\Kvsc3.exE> [N/A]
<upxdnd><; C:\WINDOWS\upxdnd.exe> [N/A]
<WSockDrv32><; C:\WINDOWS\WSockDrv32.exe> [N/A]
这些项目都没有啊。

编辑 <Userinit><userinit.exe,>
为 <Userinit><C:\WINDOWS\system32\userinit.exe,>
修改了,一刷新又回去了。
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-17 15:52 | 短消息 资料
字号: 4楼

引用:
【止戈为武的贴子】
编辑 <Userinit><userinit.exe,>
为 <Userinit><C:\WINDOWS\system32\userinit.exe,>
修改了,一刷新又回去了。
………………

你是不是开着瑞星监控呢?瑞星主动防御中的系统加固默认会拦截这个操作,并且不会弹出提示。可以试试暂时禁用瑞星监控。
gototop
 
止戈为武
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2008-01-17
  • 来自:
发表于: 2008-01-17 15:54 | 只看楼主 短消息 资料
字号: 5楼

谢3楼。那个问题搞定了。
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-17 16:09 | 短消息 资料
字号: 6楼

【回复“止戈为武”的帖子】
别客气,改完以后别忘了马上开启监控,并且及时升级杀毒。
gototop
 
止戈为武
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2008-01-17
  • 来自:
发表于: 2008-01-17 16:20 | 只看楼主 短消息 资料
字号: 7楼

【回复“lqqk7”的帖子】
正在复查病毒。应该没问题了。不过还是有后遗症:WINDOWS安全警报总是一个红叉叉,虽然能关掉,但不能通过安全中心直接设置自动更新了,应该是什么地方被病毒改了。谁有办法帮忙解决没
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-17 16:26 | 短消息 资料
字号: 8楼

是windows安全中心吗?怎么提示的?
gototop
 
止戈为武
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2008-01-17
  • 来自:
发表于: 2008-01-17 16:31 | 只看楼主 短消息 资料
字号: 9楼

呃,我的错。表达错误。看我编辑过的帖子。另外请教,这样修改之后是彻底解决了病毒还是只是阻止了病毒的扩散的危害。可以再打开系统还原之类的吗?

启动项目--注册表--删除
<AVPSrv><; C:\WINDOWS\AVPSrv.exE> [N/A]
<cmdbcs><; C:\WINDOWS\cmdbcs.exe> [N/A]
<DbgHlp32><; C:\WINDOWS\DbgHlp32.exe> [N/A]
<Kvsc3><; C:\WINDOWS\Kvsc3.exE> [N/A]
<upxdnd><; C:\WINDOWS\upxdnd.exe> [N/A]
<WSockDrv32><; C:\WINDOWS\WSockDrv32.exe> [N/A]

这些我都没找到,也就删除不了
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-17 16:38 | 短消息 资料
字号: 10楼

不能确定现在的状况,最好再重新扫一个日志。
另外,右键点【我的电脑】-【属性】-【自动更新】,这里面能否选择?
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT