瑞星卡卡安全论坛技术交流区系统软件 RootKit.Torn.n病毒删除不到!【求助】

12   1  /  2  页   跳转

RootKit.Torn.n病毒删除不到!【求助】

收藏
特攻队2
头像
锋芒艾服狮
  • 帖子:1126
  • 注册: 2006-08-25
  • 来自:深圳市
发表于: 2007-01-07 21:39 | 只看楼主 短消息 资料
字号: 1楼

RootKit.Torn.n病毒删除不到!【求助】

RootKit.Torn.n病毒删除不到,重起又出现!!
RootKit.Torn.n病毒删除不到!【求助】
最后编辑2007-02-03 08:03:08
分享到:
gototop
 
zgr稳得起
头像
大版主
  • 帖子:9006
  • 注册: 2006-05-23
  • 来自:长江嘉陵江接合部
年度优秀版主奖卡卡名人堂十周年
发表于: 2007-01-07 21:53 | 短消息 资料
字号: 2楼

引用:
【特攻队2的贴子】RootKit.Torn.n病毒删除不到,重起又出现!!
RootKit.Torn.n病毒删除不到!【求助】
………………

可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)
1.下载一个软件:冰刃http://www.ttian.net/website/2005/0829/391.html
这是一个绿色软件,下载解压缩后即可使用。

2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。

3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名的.dll文件存在,有的话,一并删除。

4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。

5.重启电脑,这个东西应该清除干净了。

特别要注意第3步,搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。
gototop
 
特攻队2
头像
锋芒艾服狮
  • 帖子:1126
  • 注册: 2006-08-25
  • 来自:深圳市
发表于: 2007-01-07 22:04 | 只看楼主 短消息 资料
字号: 3楼

病毒文件删除了,但是重起电脑开机时就没有那个文件但是又有另一个文件,病毒名称一样!!!
gototop
 
zgr稳得起
头像
大版主
  • 帖子:9006
  • 注册: 2006-05-23
  • 来自:长江嘉陵江接合部
年度优秀版主奖卡卡名人堂十周年
发表于: 2007-01-07 22:11 | 短消息 资料
字号: 4楼

引用:
【特攻队2的贴子】病毒文件删除了,但是重起电脑开机时就没有那个文件但是又有另一个文件,病毒名称一样!!!
………………

发日志到反病毒版去求助。
gototop
 
特攻队2
头像
锋芒艾服狮
  • 帖子:1126
  • 注册: 2006-08-25
  • 来自:深圳市
发表于: 2007-01-07 22:14 | 只看楼主 短消息 资料
字号: 5楼

那个反病毒版呢?
gototop
 
特攻队2
头像
锋芒艾服狮
  • 帖子:1126
  • 注册: 2006-08-25
  • 来自:深圳市
发表于: 2007-01-07 22:14 | 只看楼主 短消息 资料
字号: 6楼

就这些文件~

附件附件:

下载次数:156
文件类型:application/octet-stream
文件大小:
上传时间:2007-1-7 22:14:42
描述:
gototop
 
zgr稳得起
头像
大版主
  • 帖子:9006
  • 注册: 2006-05-23
  • 来自:长江嘉陵江接合部
年度优秀版主奖卡卡名人堂十周年
发表于: 2007-01-07 22:18 | 短消息 资料
字号: 7楼

引用:
【特攻队2的贴子】那个反病毒版呢?
………………

就是卡卡社区的> 技术交流区 > 反病毒论坛
gototop
 
特攻队2
头像
锋芒艾服狮
  • 帖子:1126
  • 注册: 2006-08-25
  • 来自:深圳市
发表于: 2007-01-07 22:20 | 只看楼主 短消息 资料
字号: 8楼

哦,你不行吗?那个病毒文件是在C盘的C:\DOCUME~1\FAFA\LOCALS~1\Temp\8c.sys
瑞星杀毒软件查到看不到啊...
要怎么样才能进入到安全模式呢?
gototop
 
zgr稳得起
头像
大版主
  • 帖子:9006
  • 注册: 2006-05-23
  • 来自:长江嘉陵江接合部
年度优秀版主奖卡卡名人堂十周年
发表于: 2007-01-07 22:25 | 短消息 资料
字号: 9楼

引用:
【特攻队2的贴子】就这些文件~
………………

Run:  C:\DOCUME~1\FAFA\LOCALS~1\Temp\services.exe
Run:  C:\DOCUME~1\FAFA\LOCALS~1\Temp\conime.exe
Run:  %systemroot%\system32\dumprep 0 -k
Run:  C:\DOCUME~1\FAFA\LOCALS~1\Temp\mhs2.exe
Run:  C:\DOCUME~1\FAFA\LOCALS~1\Temp\Rxa3\iexp1ore.exe
Run:  C:\WINDOWS\system32\expiorer.exe
在“开始菜单”→“运行”→输入“msconfig”回车→进入“系统配置实用程序”→击“启动”卡找到上面的项目关闭它们重新启动到安全模式下再杀毒删除有关的病毒文件即可。
gototop
 
特攻队2
头像
锋芒艾服狮
  • 帖子:1126
  • 注册: 2006-08-25
  • 来自:深圳市
发表于: 2007-01-07 22:33 | 只看楼主 短消息 资料
字号: 10楼

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
    <myRx3><C:\DOCUME~1\FAFA\LOCALS~1\Temp\Rxa3\iexp1ore.exe>  [N/A]
    <SyztMy><C:\WINDOWS\system32\expiorer.exe>  [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>  [N/A]
    <igfxtray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Intel Corporation]
    <igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Intel Corporation]
    <igfxpers><C:\WINDOWS\system32\igfxpers.exe>  [(Verified)Intel Corporation]
    <IMSCMig><C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>  [(Verified)Microsoft Corporation]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
    <HP Software Update><D:\HP Software Update\HPWuSchd2.exe>  [Hewlett-Packard Co.]
    <ms><C:\Program Files\Microsoft\svhost32.exe>  [N/A]
    <zts2><C:\DOCUME~1\FAFA\LOCALS~1\Temp\services.exe>  [N/A]
    <wlzs><C:\DOCUME~1\FAFA\LOCALS~1\Temp\conime.exe>  [N/A]
    <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]
    <mhs2><C:\DOCUME~1\FAFA\LOCALS~1\Temp\mhs2.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <RavStub><"C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\twunk32.exe>  [N/A]
    <Nice><C:\Program Files\Common Files\Microsoft Shared\MSINFO\LSASS.EXE>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
    <{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    <WinlogonNotify: igfxcui><igfxdev.dll>  [(Verified)Intel Corporation]
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT