求救！中了ROOTKIT，附日志 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求救！中了ROOTKIT，附日志

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 求救！中了ROOTKIT，附日志

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-25 13:58 \| 显示全部短消息资料字号：小中大 1楼求救！中了ROOTKIT，附日志用最新版瑞星扫描以后提示病毒清除，但是再杀还有 RootKit.Win32.Undef.aej AdWare.Win32.Undef.drw 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ) 附件: 文件名:SREngLOG-12-25.log 下载次数:148 文件类型:application/octet-stream 文件大小: 上传时间:2008-12-25 13:58:06 描述:log
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	分享到：

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-25 14:36 \| 显示全部短消息资料字号：小中大 2楼回复: 求救！中了ROOTKIT，附日志两个文件已打包上传杀毒时 C:\WINDOWS\system32\krDbcSM.dll 瑞星杀完还会出现 C:\WINDOWS\system32\drivers\xaetf.sys 瑞星提示删除文件失败附件: 文件名:感染文件.rar 下载次数:160 文件类型:application/octet-stream 文件大小: 上传时间:2008-12-25 14:35:37 描述:rar
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-25 15:07 \| 显示全部短消息资料字号：小中大 3楼回复: 求救！中了ROOTKIT，附日志刚运行SRENG2.7时，提示<AppInit_DLLs>的键值被改为<kmon.dll>，而且手动恢复不能最开始中毒的时候扫描还没有这个提示附上新的日志附件: 文件名:SREngLOG-12-25-2.log 下载次数:126 文件类型:application/octet-stream 文件大小: 上传时间:2008-12-25 15:06:47 描述:log
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-25 20:08 \| 显示全部短消息资料字号：小中大 4楼回复：求救！中了ROOTKIT，附日志折腾了半天 C:\WINDOWS\system32\krDbcSM.dll 瑞星提示病毒名为AdWare.Win32.Undef.drw，在SRENG中删除了相关键值后用费尔强制删除了这个文件，重启后再用瑞星扫描未出现 C:\WINDOWS\system32\drivers\xaetf.sys 瑞星提示病毒名为RootKit.Win32.Undef.aej，按照LS版主的办法SRENG中删除了此驱动，并且用费尔强制删除文件之后，重启，再扫描病毒发现xaetf.sys再次生成，而且IE主页变为http://www.kzxf.net/?1027252，修改注册表后再重启主页依旧被改
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-26 00:23 \| 显示全部短消息资料字号：小中大 5楼回复：求救！中了ROOTKIT，附日志彻底服了不管是SRENG还是卡卡助手里面禁用[xaet / ijeypn]这个驱动都不管用，费尔也粉碎不了xaetf.sys这个文件而且在安全模式下也无法删除或粉碎xaetf.sys，更无法停用[xaet / ijeypn]这个驱动之前把注册表里面所有有关IE主页的项改为空白页，之后重启进入安全模式以后发现IE主页还是被改成了http://www.kzxf.net/?1027252 安全模式都拦不住，这玩意咋这么BT呢
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-26 13:41 \| 显示全部短消息资料字号：小中大 6楼回复：求救！中了ROOTKIT，附日志用开机查杀，瑞星删除xaetf.sys失败
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:

Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:	发表于： 2008-12-26 15:14 \| 显示全部短消息资料字号：小中大 7楼回复：求救！中了ROOTKIT，附日志终于搞定了起初那文件用冰刃也干不掉，删掉还有，我就想进DOS模式下看看情况，于是我重新启动进那个有命令提示行的安全模式，先用DOS命令ATTRIB -S -H取消那个文件的系统位和隐藏位，可之后用DEL命令无法删除…… 再重启以后用冰刃一下就给宰了，然后那个驱动也可以关了再重启之后发现C:\WINDOWS\system32\krDbcSM.dll这个东西又回来了……瑞星杀之现在用瑞星再扫描已经扫不出毒了，IE主页也没有被强制修改，希望这东西没留下其他尾巴最后谢谢在此帮助我的各位大大们
Scalpel 拙长孩提狮帖子:100 注册: 2004-12-04 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT