瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决(已解决)

1   1  /  1  页   跳转

[求助] 中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决(已解决)

中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决(已解决)

HBKernel.sys这个文件在安全模式下都删除不了,提示

附件: SREngLOG.log (2008-7-19 21:10:31, 72.51 K)
该附件被下载次数 151




用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
最后编辑1038121 最后编辑于 2008-07-20 00:42:17
分享到:
gototop
 

回复: 中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

操作方法看我签名
删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下注册表项目及对应dll文件

    <{000030AE-0380-4351-8244-EE98A3240370}><C:\WINDOWS\system32\mghefy.dll>  [File is missing]
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  [File is missing]
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  [File is missing]
    <{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zefdst.dll>  [File is missing]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  [File is missing]
    <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll>  [File is missing]
    <{EB71E0B3-E97D-4D30-8733-E28266467617}><>  [N/A]
    <{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll>  [File is missing]
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  [File is missing]
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  [File is missing]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  [File is missing]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><>  [N/A]
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll>  [File is missing]
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  [File is missing]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><>  [N/A]
    <{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll>  [File is missing]
    <{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}><C:\WINDOWS\system32\dndsaf.dll>  [File is missing]
    <{5E907A48-400E-4EA8-9792-FFAE052D59E9}><C:\WINDOWS\system32\pedadt.dll>  [File is missing]
    <{0086DD39-EB8E-4504-A085-AC8A433E34D0}><C:\WINDOWS\system32\ydggsx.dll>  [File is missing]
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [File is missing]
    <{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\WINDOWS\system32\tdggrz.dll>  [File is missing]
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll>  [File is missing]
    <{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}><C:\WINDOWS\system32\jfdses.dll>  [File is missing]
    <{00070007-0007-0007-0007-00070007BB15}><C:\WINDOWS\system32\dpvvoxmh.dll>  [File is missing]
删除驱动
[azzwu / azzwu][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>[rommk / rommk][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>
[rspmj / rspmj][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>
[wtqro / wtqro][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>
用附件清除所有映像劫持项

附件附件:

下载次数:154
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-19 22:24:19
描述:rar

最后编辑aaccbbdd 最后编辑于 2008-07-19 23:04:12
gototop
 

回复:中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

打开注册表里面的ShellExecuteHooks报错啊!
gototop
 

回复:中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

不好意思
发现方案错误
已改正

看我签名
所有的操作参见
http://bbs.ikaka.com/showtopic-8442813.aspx
gototop
 

回复:中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

ShellExecuteHooks也删除不了
gototop
 

回复:中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

补充:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [File is missing]

启动文件夹
[self]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\self.bat -->  [File is missing]><N>

服务
[B302EC43 / B302EC43][Stopped/Auto Start]
  <C:\WINDOWS\system32\75D23BE4.EXE -d><(File is missing)>

驱动程序
[HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>
最后编辑豪斯登堡新郎 最后编辑于 2008-07-19 23:20:35
不认识我没关系,因为我也不认识你。
gototop
 

回复: 中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决



引用:
原帖由 豪斯登堡新郎 于 2008-7-19 23:19:00 发表
补充:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [File is missing]

启动文件夹
[self]
  <C:\Document


输入法的能删?
附件解压后放入System32文件夹

附件附件:

文件名:ctfmon.rar
下载次数:165
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-19 23:33:34
描述:rar

gototop
 

回复:中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

附件解压后放入System32文件夹 ?
有什么用?
gototop
 

回复 8F 1038121 的帖子

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [File is missing]
看来病毒可能替换了你的输入法程序
你给系统弄个正常的
gototop
 

回复:中了RootKit.Win32.Mnless.vt病毒(附日志)请高手帮忙解决

谢谢各位大大,我是菜鸟,搞了半天还是没搞懂怎么解决,
后来找到了比较笨的解决办法,下了个软件,搞定了,各位大大辛苦!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT