12   1  /  2  页   跳转

[求助] 如何杀除RootKit.Win32.Undef.aeo病毒

收藏
本主题由 版主 天月来了 于 2008-12-25 9:08:41 执行 关闭主题/取消 操作
lilymouse
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-24
  • 来自:
发表于: 2008-12-24 21:31 | 只看楼主 短消息 资料
字号: 1楼

如何杀除RootKit.Win32.Undef.aeo病毒

病毒名:RootKit.Win32.Undef.aeo
病毒路径:c:\windows\system32\drivers
感染文件:lil.sys
处理结果:手动查杀,删除失败
操作系统:Vista
详细描述异常现象:瑞星查杀发现这个病毒,但清除失败、删除也失败,安全模式下一样失败。
瑞星病毒库的版本号:21.09.14.00


求助:如何才能搞掉这个病毒?

重启机器开机后会出现一个提示信息:
加载c:\windows\system32\kiNbayx.dll 时出错 拒绝访问

不知这个信息是否与病毒有关?


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; CIBA; InfoPath.1)
最后编辑lilymouse 最后编辑于 2008-12-24 22:24:18
分享到:
gototop
 
soboy
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2008-09-07
  • 来自:
发表于: 2008-12-24 22:11 | 短消息 资料
字号: 2楼

回复:如何杀除RootKit.Win32.Undef.aeo病毒

XDelBox ( 可以百度下载该软件)
用它删除
gototop
 
lilymouse
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-24
  • 来自:
发表于: 2008-12-24 22:21 | 只看楼主 短消息 资料
字号: 3楼

回复:如何杀除RootKit.Win32.Undef.aeo病毒

XDelBox 软件似乎不支持 Windows Vista.
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2008-12-24 22:52 | 短消息 资料
字号: 4楼

回复:如何杀除RootKit.Win32.Undef.aeo病毒

扫SRENG日志到这论坛

下载System Repair Engineer(Sreng)
http://www.kztechs.com/sreng/download.html

运行SRengLdr.exe→智能扫描→扫描

等扫描完成,保存日志(LOG格式)

日志以附件上传

(点击我回的贴的右下角的“引用”或比较大的“回复”,然后就应该知道怎么以附件发了)
gototop
 
lilymouse
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-24
  • 来自:
发表于: 2008-12-24 23:03 | 只看楼主 短消息 资料
字号: 5楼

回复: 如何杀除RootKit.Win32.Undef.aeo病毒

用SRENG扫描了一把,附上报告,请大师指点。
另外我的IE也被http://www.kzxf.net/?1027252给劫持了,改不了主页。注册表也不能修改。

附件附件:

文件名:SREngLOG.log
下载次数:196
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-24 23:03:19
描述:log
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2008-12-24 23:14 | 短消息 资料
字号: 6楼

回复:如何杀除RootKit.Win32.Undef.aeo病毒

1.下载费尔木马强力清除助手:http://dl.filseclab.com/down/powerrmv.zip

使用费尔木马强力清除助手删除以下文件:(选择抑制文件再次生成)
C:\Windows\system32\drivers\ProtectorA.sys
C:\Windows\system32\drivers\Protector.sys
C:\Windows\system32\drivers\lil.sys

不论结果怎样,执行完以后,都应马上重启

2.删除重启后使用SREng修复下面各项:

启动项目 -- 服务-- 驱动程序之如下项删除:
(选中有问题的驱动服务后,点删除服务,点设置按钮即可。注意弹出的窗口中要点否NO才是确认删除服务)
[mhhl / mhhl][Running/Boot Start]

[Protector / Protector][Running/System Start]

[ProtectorA / ProtectorA][Running/System Start]

3.清除映像挟持项

使用映像挟持清除工具清除:http://bbs.ikaka.com/attachment.aspx?attachmentid=435625

4.使用注册表搜索kiNbayx.dll

搜到一个

删一个(慎重删除)
最后编辑晕4 最后编辑于 2008-12-24 23:17:54
gototop
 
lilymouse
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-24
  • 来自:
发表于: 2008-12-25 00:06 | 只看楼主 短消息 资料
字号: 7楼

回复: 如何杀除RootKit.Win32.Undef.aeo病毒

多谢大师,按照您的步骤,那个该死的rootkit病毒已经成功删除了,注册表里也搜索不到kiNbayx.dll这个文件了.
开机的错误提示信息也没有了.不放心,还是用SRENG扫描了一下,请大师再帮忙检查一下。

不过IE网页被恶意劫持的问题好像没有解决,使用映像挟持修复工具进行检查,发现一项:auto.exe 指向文件:AUTOGUARDER GUARDED 我点击“全部清除”好像没有什么反应。继续求助!

附件附件:

下载次数:173
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-25 0:05:37
描述:log
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2008-12-25 00:49 | 短消息 资料
字号: 8楼

回复 7F lilymouse 的帖子

那是对auto.exe等病毒的免疫


对机子没有影响

日志正常
gototop
 
lilymouse
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-24
  • 来自:
发表于: 2008-12-25 08:30 | 只看楼主 短消息 资料
字号: 9楼

回复:如何杀除RootKit.Win32.Undef.aeo病毒

太感谢了!
不过IE打开总跳出一个讨厌的网址,很不舒服唉。就没有办法去除这个吗?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-25 08:41 | 短消息 资料
字号: 10楼

回复:如何杀除RootKit.Win32.Undef.aeo病毒

这个不认识
==================================
驱动程序
[TPPWRIF / TPPWRIF][Running/System Start]
  <System32\drivers\Tppwr32v.sys><N/A>

你可以打开注册表,查看下面这个路径下的情况如何:

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
@="C:\Program Files\Internet Explorer\iexplore.exe" www.baidu.com
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT