瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

12   1  /  2  页   跳转

[求助] 紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

收藏
rachelnaonao
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2008-08-24
  • 来自:
发表于: 2008-08-24 01:50 | 只看楼主 短消息 资料
字号: 1楼

紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

一开机就有这两个病毒:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2
C:\WINDOWS\system32\Drivers\033739.sys
但我在C盘找不到这两个文件,而且也杀不了,
希望大家帮帮我,我真的没办法了。
先谢谢大家!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.6))
分享到:
gototop
 
叶陵君
头像
锋芒艾服狮
  • 帖子:1561
  • 注册: 2008-02-07
  • 来自:
发表于: 2008-08-24 07:12 | 短消息 资料
字号: 2楼

回复: 紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

提供两种办法删除你所说的文件

1.到这里http://bbs.ikaka.com/showtopic-8536393.aspx  (该链接有附操作方法)
下载文件暴力删除器,按说明删除。


2.到这里http://bbs.ikaka.com/showtopic-8536393.aspx    (该链接有附操作方法)
下载Xdelbox ,按说明删除。




如果你想进一步检测电脑的安全请你点击下载日志扫描
http://bbs.ikaka.com/attachment.aspx?attachmentid=416513

点智能扫描--->结束后记得保存到桌面。一会跟帖上传上来。
gototop
 
文物2
头像
横据古稀狮
  • 帖子:9389
  • 注册: 2004-04-07
  • 来自:
发表于: 2008-08-24 08:17 | 短消息 资料
字号: 3楼

回复:紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

既然找不到sys文件,恐怕要对驱动进行unlock操作了,同时谢谢叶陵君提供了这么好的提议。

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 
雨痕冰夜
头像
自信弱冠狮
  • 帖子:420
  • 注册: 2008-07-04
  • 来自:
发表于: 2008-08-24 08:46 | 短消息 资料
字号: 4楼

回复:紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

一开机就有这两个病毒,应该是杀毒软件报的吗,杀软杀不了吗
gototop
 
文物2
头像
横据古稀狮
  • 帖子:9389
  • 注册: 2004-04-07
  • 来自:
发表于: 2008-08-24 09:11 | 短消息 资料
字号: 5楼

回复:紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

据我所知,系统还原和压缩包里的病毒杀软没法杀的。BIOS rootkit没法检测,更新快的病毒会有漏网之鱼。

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-24 10:40 | 短消息 资料
字号: 6楼

回复: 紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

咳咳
楼上的
什么乱七八糟的
不想要实习生结业证了

楼主
在开机杀毒软件杀掉刚刚提到的rookits后

把我制定的的规则导入瑞星主动防御
应用后
重启计算机

附件附件:

下载次数:165
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-24 10:40:09
描述:rar
gototop
 
文物2
头像
横据古稀狮
  • 帖子:9389
  • 注册: 2004-04-07
  • 来自:
发表于: 2008-08-24 11:01 | 短消息 资料
字号: 7楼

回复: 紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊



引用:
原帖由 aaccbbdd 于 2008-8-24 10:40:00 发表
咳咳
楼上的
什么乱七八糟的
不想要实习生结业证了

楼主
在开机杀毒软件杀掉刚刚提到的rookits后

把我制定的的规则导......


我在用SReng的扫描日志中发现了一个有问题的DLL。然而杀软从来都不报毒。我在费尔文件删除工具和WINRAR中也找不到这个DLL。我想他是被隐藏了。这个结果是我没法上报给瑞星。
同时,瑞星的卡卡上网安全助手5.5为了保护自身,使用了隐藏注册表的功能在启动时建立一个全局钩子。
我从文章中看到注册表,DLL,进程,服务都是可以隐藏的,如果想让他们现身,必须要unlock一下。


引用:

利用伪造内核文件来绕过IceSword的检测
创建时间:2005-12-20
文章属性:原创
文章提交:backspray (nimaozhi_at_163.com)
作者:倪茂志
邮件:backspray008@gmail.com
完成于:2005.12.20

文章分为八个部分:
                一、为什么需要伪造内核
                二、伪造内核文件
                三、隐藏进程
                四、隐藏内核模块
                五、隐藏服务
                六、隐藏注册表
                七、隐藏文件
                八、关于端口
http://www.xfocus.net/articles/200512/841.html


您的主动防御规则我看过了,学习中。我马上建立适当的规则。谢谢分享:)

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 
文物2
头像
横据古稀狮
  • 帖子:9389
  • 注册: 2004-04-07
  • 来自:
发表于: 2008-08-24 11:10 | 短消息 资料
字号: 8楼

回复:紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

附上一段代码


引用:

Create the Unload Routine
The next piece of code we will look at is the unload routine. This is required in order to be able to unload the device driver dynamically. This section will be a bit smaller as there is not much to explain.

VOID Example_Unload(PDRIVER_OBJECT  DriverObject)
{   
   
    UNICODE_STRING usDosDeviceName;
   
    DbgPrint("Example_Unload Called \r\n");
   
    RtlInitUnicodeString(&usDosDeviceName, L"\\DosDevices\\Example");
    IoDeleteSymbolicLink(&usDosDeviceName);

    IoDeleteDevice(DriverObject->DeviceObject);
}
You can do whatever you wish in your unload routine. This unload routine is very simple, it just deletes the symbolic link we created and then deletes the only device that we created which was \Device\Example.

http://www.codeproject.com/KB/system/driverdev.aspx

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-24 11:10 | 短消息 资料
字号: 9楼

回复 7F 文物2 的帖子

冰刃找下试试
gototop
 
文物2
头像
横据古稀狮
  • 帖子:9389
  • 注册: 2004-04-07
  • 来自:
发表于: 2008-08-24 11:17 | 短消息 资料
字号: 10楼

回复:紧急求助RootKit.Win32.Agent.bkh怎么杀啊?谢谢啊

vista系统中,冰刃起不来

对个人来讲,统计,仪器,高速的计算机可以让人们得到大量充裕的时间。
这个社会中,更不可缺的是具备现代化的管理经验。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT