Trojan.Rootkit.k病毒昨天我刚发的日志修复之后今天又弹出来了 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Trojan.Rootkit.k病毒昨天我刚发的日志修复之后今天又弹出来了

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

Trojan.Rootkit.k病毒昨天我刚发的日志修复之后今天又弹出来了

小小番茄初生襁褓狮帖子:69 注册: 2006-03-15 来自:	发表于： 2006-03-15 23:59 \| 只看楼主短消息资料字号：小中大 1楼 Trojan.Rootkit.k病毒昨天我刚发的日志修复之后今天又弹出来了 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 0:11:22, 日期 2006-3-16 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Program Files\Rising\Rav\RavStub.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Rising\Rav\RavTask.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\WINNT\system32\internat.exe C:\Documents and Settings\chenrong7\My Documents\Huawei\PortalServer\218.2.135.36\PortalClient.exe C:\WINNT\system32\aicea.exe C:\WINNT\system32\svchelper.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe O1 - Hosts: 72.36.245.217 lloydstsb.co.uk O1 - Hosts: 72.36.245.217 online.lloydstsb.co.uk O1 - Hosts: 72.36.245.217 www.lloydstsb.co.uk O1 - Hosts: 72.36.245.217 www.lloydstsb.com O1 - Hosts: 72.36.245.217 www.lloydstsb.com O1 - Hosts: 72.36.245.217 personal.barclays.co.uk O1 - Hosts: 72.36.245.217 barclays.co.uk O1 - Hosts: 72.36.245.217 ibank.barclays.co.uk O1 - Hosts: 72.36.245.217 www.barclays.co.uk O1 - Hosts: 72.36.245.217 www.nwolb.com O1 - Hosts: 72.36.245.217 nwolb.com O1 - Hosts: 72.36.245.217 hsbc.co.uk O1 - Hosts: 72.36.245.217 www.hsbc.co.uk O1 - Hosts: 72.36.245.217 abbey.com O1 - Hosts: 72.36.245.217 www.abbey.com O1 - Hosts: 72.36.245.217 www.abbey.co.uk O1 - Hosts: 72.36.245.217 abbey.co.uk O1 - Hosts: 72.36.245.217 cahoot.com O1 - Hosts: 72.36.245.217 www.cahoot.com O1 - Hosts: 72.36.245.217 www.cahoot.co.uk O1 - Hosts: 72.36.245.217 cahoot.co.uk O1 - Hosts: 72.36.245.217 www.co-operativebank.co.uk O1 - Hosts: 72.36.245.217 co-operativebank.co.uk O1 - Hosts: 72.36.245.217 www.co-operativebank.com O1 - Hosts: 72.36.245.217 co-operativebank.com O1 - Hosts: 72.36.245.217 welcome2.co-operativebankonline.co.uk O1 - Hosts: 72.36.245.217 welcome6.co-operativebankonline.co.uk O1 - Hosts: 72.36.245.217 welcome8.co-operativebankonline.co.uk O1 - Hosts: 72.36.245.217 welcome10.co-operativebankonline.co.uk O1 - Hosts: 72.36.245.217 www.smile.co.uk O1 - Hosts: 72.36.245.217 smile.co.uk O1 - Hosts: 72.36.245.217 www.cajamar.es O1 - Hosts: 72.36.245.217 cajamar.es O1 - Hosts: 72.36.245.217 www.cajamar.com O1 - Hosts: 72.36.245.217 cajamar.com O1 - Hosts: 72.36.245.217 www.unicaja.es O1 - Hosts: 72.36.245.217 unicaja.es O1 - Hosts: 72.36.245.217 www.unicaja.com O1 - Hosts: 72.36.245.217 unicaja.com O1 - Hosts: 72.36.245.217 www.caixagalicia.es O1 - Hosts: 72.36.245.217 caixagalicia.es O1 - Hosts: 72.36.245.217 www.caixagalicia.com O1 - Hosts: 72.36.245.217 caixagalicia.com O1 - Hosts: 72.36.245.217 activa.caixagalicia.es O1 - Hosts: 72.36.245.217 www.caixapenedes.es O1 - Hosts: 72.36.245.217 caixapenedes.es O1 - Hosts: 72.36.245.217 www.caixapenedes.com O1 - Hosts: 72.36.245.217 caixapenedes.com O1 - Hosts: 72.36.245.217 bancae.caixapenedes.com O1 - Hosts: 72.36.245.217 www.caixasabadell.es O1 - Hosts: 72.36.245.217 caixasabadell.es O1 - Hosts: 72.36.245.217 www.caixasabadell.net O1 - Hosts: 72.36.245.217 caixasabadell.net O1 - Hosts: 72.36.245.217 www.cajamadrid.es O1 - Hosts: 72.36.245.217 cajamadrid.es O1 - Hosts: 72.36.245.217 www.cajamadrid.com O1 - Hosts: 72.36.245.217 cajamadrid.com O1 - Hosts: 72.36.245.217 oi.cajamadrid.es O1 - Hosts: 72.36.245.217 www.ccm.es O1 - Hosts: 72.36.245.217 ccm.es O1 - Hosts: 72.36.245.217 www.haspa.de O1 - Hosts: 72.36.245.217 haspa.de O1 - Hosts: 72.36.245.217 ssl2.haspa.de O1 - Hosts: 72.36.245.217 www.dresdner-bank.de O1 - Hosts: 72.36.245.217 dresdner-bank.de O1 - Hosts: 72.36.245.217 www.dresdner-privat.de O1 - Hosts: 72.36.245.217 postbank.de O1 - Hosts: 72.36.245.217 www.postbank.de O1 - Hosts: 72.36.245.217 banking.postbank.de O1 - Hosts: 72.36.245.217 www.sparda-b.de O1 - Hosts: 72.36.245.217 sparda-b.de O1 - Hosts: 72.36.245.217 www.bankingonline.de O1 - Hosts: 72.36.245.217 www.raiffeisenbank-erding.de O1 - Hosts: 72.36.245.217 raiffeisenbank-erding.de O1 - Hosts: 72.36.245.217 www.vr-networld-ebanking.de O1 - Hosts: 72.36.245.217 vr-networld-ebanking.de O1 - Hosts: 72.36.245.217 www.bnhof.de O1 - Hosts: 72.36.245.217 bnhof.de O1 - Hosts: 72.36.245.217 www.deutsche-bank.de O1 - Hosts: 72.36.245.217 deutsche-bank.de O1 - Hosts: 72.36.245.217 meine.deutsche-bank.de O1 - Hosts: 72.36.245.217 www.citibank.de O1 - Hosts: 72.36.245.217 citibank.de O1 - Hosts: 72.36.245.217 www.dkb.de O1 - Hosts: 72.36.245.217 dkb.de O1 - Hosts: 72.36.245.217 www.sparkasse-regensburg.de O1 - Hosts: 72.36.245.217 sparkasse-regensburg.de O1 - Hosts: 72.36.245.217 www.berliner-bank.de O1 - Hosts: 72.36.245.217 berliner-bank.de O1 - Hosts: 72.36.245.217 www.berliner-sparkasse.de O1 - Hosts: 72.36.245.217 berliner-sparkasse.de O1 - Hosts: 72.36.245.217 www.wellsfargo.com O1 - Hosts: 72.36.245.217 wellsfargo.com O1 - Hosts: 72.36.245.217 www.bankofamerica.com O1 - Hosts: 72.36.245.217 bankofamerica.com O1 - Hosts: 72.36.245.217 www.usbank.com O1 - Hosts: 72.36.245.217 usbank.com O1 - Hosts: 72.36.245.217 www.bankone.com O1 - Hosts: 72.36.245.217 bankone.com O1 - Hosts: 72.36.245.217 www.citibank.com O1 - Hosts: 72.36.245.217 citibank.com O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v14.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Tencent\QQ\QQIEHelper.dll O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINNT\DH.dll (file missing) O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\kakatool.dll O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [Windows Helper] C:\WINNT\system32\svchelper.exe O4 - 启动项HKLM\\Run: [Windows DLL Loader] C:\WINNT\system32\aicea.exe O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - Startup: 腾讯QQ.lnk = D:\Tencent\QQ\QQ.exe O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder\geturl.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Tencent\QQ\QQIEHelper.dll O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Tencent\QQ\QQIEHelper.dll O9 - 浏览器额外的按钮: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn/?u=RSTB (file missing) O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com/?u=RSTB (file missing) O16 - DPF: {414E7D87-8073-4EFB-9E4B-C8DF04C979EE} (PortalCom AAA 1.0) - http://218.2.135.36/PortalAX02.cab O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (Qzone Media Tools) - http://imgcache.qq.com/qzone/photo/QzoneMediaTools.cab O20 - Winlogon Notify: Shell Extensions - C:\WINNT\system32\q4ps0e77eh.dll (file missing) O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe 2006-03-16 08:54:10
小小番茄初生襁褓狮帖子:69 注册: 2006-03-15 来自:	分享到：

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-03-16 08:15 \| 短消息资料字号：小中大 2楼首先楼主应该知道用HIJAKCTHIS是不能解决Rootkit木马的就你的日志来说：建议养成良好的上网习惯　不要登陆不良网站操作参考：结束如下进程 C:\WINNT\system32\aicea.exe C:\WINNT\system32\svchelper.exe 修复所有的01项 O4 - 启动项HKLM\\Run: [Windows Helper] C:\WINNT\system32\svchelper.exe O4 - 启动项HKLM\\Run: [Windows DLL Loader] C:\WINNT\system32\aicea.exe O23 - NT 服务: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe 进入注册表搜索{6001CDF7-6F45-471b-A203-0225615E35A7} 找到后删除进入注册表搜索q4ps0e77eh.dll 找到后删除删除 C:\WINNT\system32\aicea.exe C:\WINNT\system32\svchelper.exe C:\WINNT\MSmedia.exe 进入注册表删除上述三个程序在注册表中的相关信息提示：若正常模式下无法解决建议进入安全模式下操作
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

凌晨25点的爱快乐黄口狮帖子:144 注册: 2006-02-25 来自:	发表于： 2006-03-16 08:53 \| 短消息资料字号：小中大 3楼是一种集IRC后门、蠕虫功能于一体，通过网络共享和作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播的病毒。病毒尝试通过弱密码登陆目标系统，在感染的电脑上打开后门接收指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带宽资源，容易造成局域网阻塞；还将安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS（拒绝服务）攻击等。同时病病毒使用高度隐藏技术，用户中招后很难察觉，最终沦为网络僵尸，被黑客完全纵。病毒将自身复制到以下目录： %SystemRoot%\extel.exe 并释放以下驱动文件： rdriv.sys(用于隐藏自身进程，及445端口) 每次开机时，启动自身运行。 trojan.rootkit.k （rdriv.sys）病毒的清除方法 1、首先禁用所有杀毒软件 2、下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；释放 PowerRmv.zip 到一个目录 3、重启机器到安全模式（按完开机按钮后不断按F8就能进入） 4、执行PowerRmv.exe ，启动“费尔木马强力清除助手”。在“文件名”中输入要清除的 rdriv.sys木马文件名。但要加上文件路径c:windows\system32\rdriv.sys，请选中程序中的“抑制文件再次生成”选项按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，点否，接着程序会继续提示是否确定要清除它，选“是”；之后，此木马被成功清除程序会提示成功。 5、重启机器后，rdriv.sys已经没有了啊，成功！！！
凌晨25点的爱快乐黄口狮帖子:144 注册: 2006-02-25 来自:

凌晨25点的爱快乐黄口狮帖子:144 注册: 2006-02-25 来自:	发表于： 2006-03-16 08:54 \| 短消息资料字号：小中大 4楼 1.搜索C/winnt/system32/里是否有SSMS.EXE文件 2.如果有,进入注册表2000下在"运行"按REGEDIT 3.在HKEY_LOCAL_MACHINE中找到currentcontrolset里面有个子目录叫SERVICES 4.在SERVICES里寻找rdriv和SSMS 两个注册启动的东东 DEL掉 5.重新启动计算机,进入DOS(不论什么方法进DOS就行) 6.在你系统所在分区的提示符下输入DEL rdriv.sys 和del ssms.exe 7.重启动,回到WIN2000,搜索已经删除的那两个文件 8.我用这种方法清除的. 如果不行,注意检查是否有: bling.exe netwmon.exe wuamgrd.exe 的存在,有则先删除其注册表中的注册信息,然后按我说的5-8条的方法,就可以清除. PS001：病毒文件在DOS下或在带命令行的安全模式下都可以比较顺利地直接删除。可以用以下两个命令：一个是ATTRIB，用来设置（去除）病毒文件属性，另一个就是删除文件的DEL命令了。操作办法，在dos下： c:/>attrib -s -h -r rdriv.sys c:/>del rdriv.sys 如果你是Windows 2000或XP，还可以启动到“带命令行提示的安全模式”来尝试删除正常模式下甚至安全模式下无法删除的病毒文件。如下; c:/>attrib -s -h -r rdriv.sys c:/>del rdriv.sys
凌晨25点的爱快乐黄口狮帖子:144 注册: 2006-02-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT