1   1  /  1  页   跳转

[求助] 求救!中了ROOTKIT,附日志

收藏
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-25 13:58 | 只看楼主 短消息 资料
字号: 1楼

求救!中了ROOTKIT,附日志

用最新版瑞星扫描以后提示病毒清除,但是再杀还有

RootKit.Win32.Undef.aej

AdWare.Win32.Undef.drw

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

附件附件:

下载次数:148
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-25 13:58:06
描述:log
分享到:
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2008-12-25 14:16 | 短消息 资料
字号: 2楼

回复:求救!中了ROOTKIT,附日志

C:\WINDOWS\system32\drivers\xaetf.sys
C:\WINDOWS\system32\krDbcSM.dll
提交到这里,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml
╭∩╮(︶︿︶)╭∩╮
gototop
 
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-25 14:36 | 只看楼主 短消息 资料
字号: 3楼

回复: 求救!中了ROOTKIT,附日志

两个文件已打包上传

杀毒时

C:\WINDOWS\system32\krDbcSM.dll 瑞星杀完还会出现

C:\WINDOWS\system32\drivers\xaetf.sys 瑞星提示删除文件失败

附件附件:

下载次数:160
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-25 14:35:37
描述:rar
gototop
 
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-25 15:07 | 只看楼主 短消息 资料
字号: 4楼

回复: 求救!中了ROOTKIT,附日志

刚运行SRENG2.7时,提示<AppInit_DLLs>的键值被改为<kmon.dll>,而且手动恢复不能

最开始中毒的时候扫描还没有这个提示

附上新的日志

附件附件:

下载次数:125
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-25 15:06:47
描述:log
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-25 16:36 | 短消息 资料
字号: 5楼

回复:求救!中了ROOTKIT,附日志

下面这个不认识,什么呢?

启动项目
注册表
    <SlowDownCPU><C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe>  []
==================================
正在运行的进程
[PID: 504 / Bluewater][C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe]  [, 1, 0, 0, 1]
    [C:\WINDOWS\INF\MSI\SlowDownCPU\GLM7X.dll]  [MICRO-STAR INT'L CO., LTD., 3, 0, 0, 0]
    [C:\WINDOWS\INF\MSI\SlowDownCPU\RushTop.dll]  [N/A, ]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项,将启动类型改为“Disabled”
==================================
驱动程序
[xaet / ijeypn][Running/Boot Start]
  <\SystemRoot\system32\drivers\xaetf.sys><N/A>
————————————————————————————————————
再重启电脑,反复检查,操作的结果,

杀毒软件升级至最新版本全盘杀。

记得打打系统漏洞补丁

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
gototop
 
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-25 20:08 | 只看楼主 短消息 资料
字号: 6楼

回复:求救!中了ROOTKIT,附日志

折腾了半天

C:\WINDOWS\system32\krDbcSM.dll
瑞星提示病毒名为AdWare.Win32.Undef.drw,在SRENG中删除了相关键值后用费尔强制删除了这个文件,重启后再用瑞星扫描未出现

C:\WINDOWS\system32\drivers\xaetf.sys
瑞星提示病毒名为RootKit.Win32.Undef.aej,按照LS版主的办法SRENG中删除了此驱动,并且用费尔强制删除文件之后,重启,再扫描病毒发现xaetf.sys再次生成,而且IE主页变为http://www.kzxf.net/?1027252,修改注册表后再重启主页依旧被改
gototop
 
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-26 00:23 | 只看楼主 短消息 资料
字号: 7楼

回复:求救!中了ROOTKIT,附日志

彻底服了

不管是SRENG还是卡卡助手里面禁用[xaet / ijeypn]这个驱动都不管用,费尔也粉碎不了xaetf.sys这个文件

而且在安全模式下也无法删除或粉碎xaetf.sys,更无法停用[xaet / ijeypn]这个驱动

之前把注册表里面所有有关IE主页的项改为空白页,之后重启进入安全模式以后发现IE主页还是被改成了http://www.kzxf.net/?1027252

安全模式都拦不住,这玩意咋这么BT呢
gototop
 
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-26 13:41 | 只看楼主 短消息 资料
字号: 8楼

回复:求救!中了ROOTKIT,附日志

用开机查杀,瑞星删除xaetf.sys失败
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-26 13:52 | 短消息 资料
字号: 9楼

回复:求救!中了ROOTKIT,附日志

这里官网下载冰刃,在“文件”中找那文件“强制删除”:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
gototop
 
Scalpel
头像
拙长孩提狮
  • 帖子:100
  • 注册: 2004-12-04
  • 来自:
发表于: 2008-12-26 15:14 | 只看楼主 短消息 资料
字号: 10楼

回复:求救!中了ROOTKIT,附日志

终于搞定了

起初那文件用冰刃也干不掉,删掉还有,我就想进DOS模式下看看情况,于是我重新启动进那个有命令提示行的安全模式,先用DOS命令ATTRIB -S -H取消那个文件的系统位和隐藏位,可之后用DEL命令无法删除……

再重启以后用冰刃一下就给宰了,然后那个驱动也可以关了

再重启之后发现C:\WINDOWS\system32\krDbcSM.dll这个东西又回来了……瑞星杀之

现在用瑞星再扫描已经扫不出毒了,IE主页也没有被强制修改,希望这东西没留下其他尾巴

最后谢谢在此帮助我的各位大大们
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT