瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

1234   1  /  4  页   跳转

可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

收藏
本主题由 卡卡技术团队 超级游戏迷 于 2009-6-18 21:00:52 执行 移动主题 操作
爱新觉罗滔
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-06-18
  • 来自:
发表于: 2009-06-18 19:53 | 只看楼主 短消息 资料
字号: 1楼

可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

高手我用瑞星查出 RootKit.Win32.Agent.fay      c:\windows\system32\drivers\nswmj.sys但是删不掉怎么弄! 安全模式下没办法,用了很多自称很牛逼的软件都没办法,兄弟我实在没办法只有来这里找高手了,请高手指点啊!

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; QQDownload 538; EzCenterExplorer; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618; InfoPath.2)

附件附件:

文件名:SREngLOG.log
下载次数:144
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-18 19:53:28
描述:log
分享到:
gototop
 
lrxyhrm
头像
叱咤花甲狮
  • 帖子:3782
  • 注册: 2008-08-14
  • 来自:吉利
论坛8周年活动礼物
发表于: 2009-06-18 20:00 | 短消息 资料
字号: 2楼

回复:可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!
gototop
 
爱新觉罗滔
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-06-18
  • 来自:
发表于: 2009-06-18 20:05 | 只看楼主 短消息 资料
字号: 3楼

回复 2F lrxyhrm 的帖子

行吗?
gototop
 
lrxyhrm
头像
叱咤花甲狮
  • 帖子:3782
  • 注册: 2008-08-14
  • 来自:吉利
论坛8周年活动礼物
发表于: 2009-06-18 20:08 | 短消息 资料
字号: 4楼

回复:可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

只要能查出来的病毒都可以杀掉。
gototop
 
爱新觉罗滔
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-06-18
  • 来自:
发表于: 2009-06-18 20:15 | 只看楼主 短消息 资料
字号: 5楼

回复 4F lrxyhrm 的帖子

哦谢谢了!
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-06-18 20:42 | 短消息 资料
字号: 6楼

回复: 可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

个人认为日志中的异常项目如下,几个伪微软签名的病毒文件是其根源,估计能通过远程计算机在本地建立计划任务,造成屡杀不死的现象:
========================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <e26b><rundll32 "C:\Windows\Downlo~1\e26b.dll",Run>  [Microsoft Corporation]

服务
[Gebley / Gebley][Stopped/Auto Start]
  <C:\Windows\system32\1r7b.exe><(File is missing)>
[OSEvent / OSEvent][Stopped/Auto Start]
  <C:\Windows\system32\t.exe><Microsoft Corporation>

驱动程序
[xflirgh / xflirgh][Running/Boot Start]
  <\SystemRoot\system32\drivers\nswmj.sys><N/A>

浏览器加载项
[Invoke Class]
  {C44A4F21-CD5E-44fd-BB98-E27579F275B5} <C:\Windows\system32\2cp5.dll, N/A>
[Invoke Class]
  {C44A4F21-CD5E-44FD-BB98-E27579F275B5} <C:\Windows\system32\2cp5.dll, N/A>

正在运行的进程(仅指插入进程的DLL模块,红色的就是)
[PID: 324 / hp][C:\Windows\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
    [C:\Windows\Downlo~1\e26b.dll]  [Microsoft Corporation, 5, 3, 2600, 2180]
[PID: 3516 / hp][C:\Windows\system32\rundll32.EXE]  [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
  [C:\Windows\Downlo~1\e26ac.dll]  [Microsoft Corporation, 8, 90, 1101, 0]

计划任务
[已启用] \\e26ac
        rundll32 C:\Windows\Downlo~1\e26ac.dll,Always
[已启用] \\e26b
        rundll32 C:\Windows\Downlo~1\e26b.dll,Run
============================
最后编辑超级游戏迷 最后编辑于 2009-06-18 20:47:26
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-06-18 20:59 | 短消息 资料
字号: 7楼

回复: 可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

个人设计的手工清除病毒的思路是:

1、先设法阻止c:\windows\system32\rundll32.exe加载运行C:\Windows\Downloaded Program Files\e26b.dll、C:\Windows\Downloaded Program Files\e26ac.dll这两个病毒文件,让病毒通过远程计算机在本地建立病毒计划任务的阴谋破产(我还没想出较好的办法,有待高手指点);

2、使用有效工具一次性批量处理掉以下病毒文件:
C:\Windows\system32\1r7b.exe
C:\Windows\system32\t.exe
C:\Windows\system32\drivers\nswmj.sys
C:\Windows\system32\2cp5.dll
C:\Windows\Downloaded Program Files\e26b.dll
C:\Windows\Downloaded Program Files\e26ac.dll

3、处理掉病毒添加的注册表、服务、驱动、浏览器加载项、计划任务(楼上的就是了);

4、以上全搞完后再重启电脑,估计就差不多了。

有待高手来研究探讨……
打酱油的……
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-06-18 21:03 | 短消息 资料
字号: 8楼

回复: 可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它!

给你提供个工具【压缩包内附说明】

附件附件:

文件名:XDelBox.rar
下载次数:229
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-18 21:03:14
描述:rar
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-06-18 21:05 | 短消息 资料
字号: 9楼

回复 8F 夲號ヱ被ジ盜 的帖子

提示下,楼主的机是VISTA……
打酱油的……
gototop
 
爱新觉罗滔
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-06-18
  • 来自:
发表于: 2009-06-18 21:26 | 只看楼主 短消息 资料
字号: 10楼

回复 9F 超级游戏迷 的帖子

对 一楼的办法没法啊!  我用过了
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT