瑞星卡卡安全论坛

看了baohe的那篇“rootkit为什么难缠？”深有感触
baohe的文章偶觉得很精深。。。看了比较吃力。。。老实说
谈到电脑里面什么进程什么注册表。。。偶就是白痴
不幸的是，老天让偶的电脑也中了rootkit病毒！（如果不中，也不会找到这里来。。。）
全称是“rootkit.win32.agent.p”
卡巴斯基说它在c：\WINDOWS\system32\rdriv.sys文件中染毒。。。不过他也杀不掉
我认真学习了baohe的理论，觉得十分吃力
不过他说的两个软件非常幸运的是我顺利找到了
并且正在学习怎么使用
我截了几副图，请高人达人给予指示。。。下一步该怎么做啊！～～～
对于大家的帮助，我十二分的感激！
即使没有帮到也没有关系，毕竟通过这个问题的研究，我们大家都有了进步！

这是第二附图

这是第三附图

这是第四附图                                                                                                                           

这是第五附图                                                                                                                     

第六附图

                                                           

【回复“misstykita”的帖子】
我怎么一幅图都看不到啊？全是红X。

注：电脑重新启动后或者安全模式下用卡巴斯基仍然没有删除病毒（当然我也知道不会这么轻易就删掉的）
用killbox工具输入卡巴斯基查毒查到的地址后即：
c：\WINDOWS\system32\rdriv.sys
无法删除文件，killbox提示该文件不存在或者已经被删除。。。

汗！～～
估计我也不会贴图。。。。。。
我只是发贴内容中间点了下贴图的按钮，然后把文件在我电脑中的地址复制到两个img中间。。。。。。然后就发表了（好丢脸～）
不过我这里可以看到我发表的图片呢。。。

引用:

【misstykita的贴子】注：电脑重新启动后或者安全模式下用卡巴斯基仍然没有删除病毒（当然我也知道不会这么轻易就删掉的） 用killbox工具输入卡巴斯基查毒查到的地址后即： c：\WINDOWS\system32\rdriv.sys 无法删除文件，killbox提示该文件不存在或者已经被删除。。。 ...........................

请在安全模式下用KillBox删除那个rdriv.sys。KillBox删除前的设置——务必选择“替换后重启电脑”。

KillBox设置重启后删除也行:-)

上述两法均尝了一下
结果令人出乎意料：killbox提示“该文件无法删除”

引用:

【misstykita的贴子】上述两法均尝了一下 结果令人出乎意料：killbox提示“该文件无法删除” ...........................

sys文件是exe文件的“隐身衣”。如果不知道exe在何处，不能删除exe，试图删掉sys－那是徒劳的。我那个实战帖是用IceSword发现exe文件后，在安全模式下，先用KillBox“替换删除”这个exe。删除后，自动重启到WINDOWS模式，再用IceSword删sys文件。操作顺序很重要。你的“删不掉”的滋味——我也尝过。

我和楼主的问题一样

我中的是trojan.rootkit.k

也是该文件无法删除，而且病毒更猖狂了

纯DOS下删除可以吗????????
(大不了系统崩溃……）

我好想让你看看我的电脑显示出来的样子。。。
因为好多exe文件 不知道哪个是坏虫。。。

为了贴图，我临时去学习了怎么贴。。。不过
这里不知道为什么总是提示：http。。。什么内部服务器错误
不过能否劳驾各位看看我为图片申请的一个网络免费地址
http://tinypic.com/9011qc.jpg


不知道为什么这个用ubb码还是不能贴图

在icesword显示的系统进程中
c：\WINDOWS\system32下面有如下带后缀.exe的文件
SMSS
CSRSS
WINLOGON
alg
SERVICES
LSASS
wdfmgr
SVCHOST
SCardSvr
Keyhook
BCUP
CTFMON
请问高人。。。哪一个是可疑对象啊。。。
我真看不懂。。。好急人～～～

bcup.exe!!!!!这个是木马（博采），用木马克星５．４７可以查杀

好同情楼主,
你的问题我帮你顶了,希望能有更多的高手来帮你解决问题.