瑞星卡卡安全论坛
dogsun - 2005-7-19 21:19:00
3天前我不知怎么中了Trojan.Rootkit.k,瑞星无法杀灭,就立刻上瑞星论坛看看。版主的置顶帖子看了,和我家的不是一种类型,也试了进安全模式杀,开机照样有。后来有段时间那置顶不见了,我也开始无奈了。昨天论坛好像开始爆发了对ROOTKIT的讨论,我也参考着上面的方法去做,总算把它弄掉了。下面是我的解决方法:
1:用DLLCOMPARE扫描系统(参见版主的置顶帖)
2:进注册表搜索键值。我搜了rdriv.sys,extel.exe,image.exe(这个事后觉得不是我家的病毒文件,具体搜什么自己灵活掌握,此病毒好像有较多变种),并删除,修改。
3:用搜索功能把以上相关的文件删除(一般是在临时文件夹内)。
4:重启进安全模式用KILLBOX删掉第一步的文件,如不放心请备份
重启后用瑞星查过,我的世界清静了。
baohe - 2005-7-19 21:28:00
【回复“dogsun”的帖子】
祝贺你!朋友!总算有人看懂我那个帖子是什么意思了!
与时俱进!不要“刻舟求剑”!这才是我的本意。
命运里の金色 - 2005-7-19 21:33:00
恭喜楼主
zippo321 - 2005-7-19 21:55:00
怎么我全试过,一台好了,但还有一台重启后查不到病毒了,可是系统还是很慢,局域网时通时不通
slipper506 - 2005-7-19 22:32:00
我用icesword删了rdriv.sys后,瑞星就报警extel.exe有毒。却没有查到image.exe。用icesword也没有看到这个文件。重启后总算没有毒。
dogsun - 2005-7-19 22:45:00
【回复“slipper506”的帖子】
我只是看见别人的帖子说image.exe有毒,为了保险就一起查了一下。不过好像我的只有extel.exe是病毒文件,谢谢提醒。
baohe - 2005-7-19 22:55:00
【回复“dogsun”的帖子】
这类东东的某些变种非常狡猾。同一个样本,每感染一次系统,生成的.exe的文件名都发生改变(我领教过)。估计病毒制造者的目的就是要增加其查杀难度。
花落花又开 - 2005-7-19 23:03:00
【回复“baohe”的帖子】
后步killbox可以换成IceSword吗?
效果大致一样?
dogsun - 2005-7-19 23:13:00
我中的还好,一开始就是这个文件名(最早是防火墙报这个文件要访问外网我才警觉起来)
苹果6 - 2005-7-19 23:14:00
use HijackThis to scan and show here
baohe - 2005-7-19 23:14:00
【回复“花落花又开”的帖子】
不知你指的是哪一步。在安全模式下,IceSwoed不能加载运行。
我今天又试了一下,DLLCOMPARE扫描.exe文件那步,在普通WINDOWS模式下操作——也行!
baohe - 2005-7-19 23:14:00
| 引用: |
【baohe的贴子】【回复“花落花又开”的帖子】
不知你指的是哪一步。在安全模式下,IceSword不能加载运行。
........................... |
花落花又开 - 2005-7-19 23:19:00
| 引用: |
【baohe的贴子】【回复“花落花又开”的帖子】
不知你指的是哪一步。在安全模式下,IceSwoed不能加载运行。
我今天又试了一下,DLLCOMPARE扫描.exe文件那步,在普通WINDOWS模式下操作——也行!
........................... |
说明病毒文件未受进程保护?
这样说的话IceSword在WINDOWS模式下可以替换killbox?
对DLLCOMPARE还是不怎么了解- -`
baohe - 2005-7-19 23:39:00
| 引用: |
【花落花又开的贴子】
说明病毒文件未受进程保护?
这样说的话IceSword在WINDOWS模式下可以替换killbox?
对DLLCOMPARE还是不怎么了解- -`
........................... |
不可以。经实践证实。中了rootkit后,才开始运行IceSword,病毒进程插入IceSword进程。我那个“Rootkit为什么难缠”的帖子中有图。
花落花又开 - 2005-7-19 23:41:00
【回复“baohe”的帖子】
豁然开朗...
谢谢baohe
626917 - 2005-7-20 8:42:00
可是DLLCOMPARE我下的不能用啊,KILL能用怎么办
626917 - 2005-7-20 8:48:00
baohe???!!!!!!
ojgaviuwrhgiul - 2005-7-20 9:04:00
| 引用: |
【baohe的贴子】
不可以。经实践证实。中了rootkit后,才开始运行IceSword,病毒进程插入IceSword进程。我那个“Rootkit为什么难缠”的帖子中有图。
........................... |
晕,你的图怎么可能说明病毒插入了IceSword?仅仅是它把IceSword进程隐藏了而已,
它是个驱动,hook一下而已,并没有注入IceSword。不知道他这算不算典型的掩耳盗铃!
哈哈哈
ojgaviuwrhgiul - 2005-7-20 9:07:00
| 引用: |
【ojgaviuwrhgiul的贴子】
晕,你的图怎么可能说明病毒插入了IceSword?仅仅是它把IceSword进程隐藏了而已,
它是个驱动,hook一下而已,并没有注入IceSword。不知道他这算不算典型的掩耳盗铃!
哈哈哈
........................... |
如果它写得不好,把IceSword改个名就没不会隐藏了,当然如果它用其他特征判断就不行了。
偶然的佼佼 - 2005-7-20 10:22:00
大家好!我单位的电脑中了Backdoor.Gpigeon.bc病毒,瑞星最新版也杀不了,常出现非法操作的提示,严重影响打字,怎么解决啊,麻烦明白人给点好办法,另外,我不很懂电脑
命运里の金色 - 2005-7-20 10:27:00
广场 - 2005-7-20 12:16:00
我也是,最近才帮朋友处理了一个.k的变种,谢谢baohe提供的方法,病毒虽然千变万化,但是万变不离其宗,掌握方法才是最重要的。在此对baohe表示感谢。
网络断魂 - 2005-7-20 19:10:00
我们公司两台服务器都中毒了这个病毒,瑞星杀来杀去杀不了,本来想用上面的方法试试,可这个工具下载下来后在安全模式下运行老是出错,一时火大干脆下载了个超级免子魔法设置(6.95版)来用,没想到还真把它给踢出去了,你们可以试试,注册码去百度随便搜一下都有。
不再猶豫 - 2005-7-21 9:19:00
奋斗了一个多小时啊~终于搞定了~
果然整个世界都安静了~
多谢~多谢!~~~
我朋友机器的症状是开机无限重起~一直到自己重起HAPPY了才停止。。。
怎么和你们说的症状都不一样哦,,,,
1
© 2000 - 2026 Rising Corp. Ltd.