紧急求助RootKit.Win32.Agent.bkh怎么杀啊？谢谢啊 bbs.ikaka.com

rachelnaonao - 2008-8-24 1:50:00

一开机就有这两个病毒：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2
C:\WINDOWS\system32\Drivers\033739.sys
但我在C盘找不到这两个文件，而且也杀不了，
希望大家帮帮我，我真的没办法了。
先谢谢大家!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.6))

叶陵君 - 2008-8-24 7:12:00

提供两种办法删除你所说的文件

1.到这里http://bbs.ikaka.com/showtopic-8536393.aspx （该链接有附操作方法）
下载文件暴力删除器，按说明删除。

2.到这里http://bbs.ikaka.com/showtopic-8536393.aspx （该链接有附操作方法）
下载Xdelbox ，按说明删除。

如果你想进一步检测电脑的安全请你点击下载日志扫描
http://bbs.ikaka.com/attachment.aspx?attachmentid=416513

点智能扫描--->结束后记得保存到桌面。一会跟帖上传上来。

文物2 - 2008-8-24 8:17:00

既然找不到sys文件，恐怕要对驱动进行unlock操作了，同时谢谢叶陵君提供了这么好的提议。

雨痕冰夜 - 2008-8-24 8:46:00

一开机就有这两个病毒,应该是杀毒软件报的吗,杀软杀不了吗

文物2 - 2008-8-24 9:11:00

据我所知，系统还原和压缩包里的病毒杀软没法杀的。BIOS　rootkit没法检测，更新快的病毒会有漏网之鱼。

aaccbbdd - 2008-8-24 10:40:00

咳咳
楼上的
什么乱七八糟的
不想要实习生结业证了

楼主
在开机杀毒软件杀掉刚刚提到的rookits后

把我制定的的规则导入瑞星主动防御
应用后
重启计算机

附件: 干死rookits.rar

文物2 - 2008-8-24 11:01:00

引用:

原帖由 aaccbbdd 于 2008-8-24 10:40:00 发表

咳咳
楼上的
什么乱七八糟的
不想要实习生结业证了

楼主
在开机杀毒软件杀掉刚刚提到的rookits后

把我制定的的规则导......

我在用SReng的扫描日志中发现了一个有问题的DLL。然而杀软从来都不报毒。我在费尔文件删除工具和WINRAR中也找不到这个DLL。我想他是被隐藏了。这个结果是我没法上报给瑞星。
同时，瑞星的卡卡上网安全助手5.5为了保护自身，使用了隐藏注册表的功能在启动时建立一个全局钩子。
我从文章中看到注册表，DLL，进程，服务都是可以隐藏的，如果想让他们现身，必须要unlock一下。

引用:

利用伪造内核文件来绕过IceSword的检测
创建时间：2005-12-20
文章属性：原创
文章提交：backspray (nimaozhi_at_163.com)
作者：倪茂志
邮件：backspray008@gmail.com
完成于：2005.12.20

文章分为八个部分：
一、为什么需要伪造内核
二、伪造内核文件
三、隐藏进程
四、隐藏内核模块
五、隐藏服务
六、隐藏注册表
七、隐藏文件
八、关于端口
http://www.xfocus.net/articles/200512/841.html

您的主动防御规则我看过了，学习中。我马上建立适当的规则。谢谢分享：）

文物2 - 2008-8-24 11:10:00

附上一段代码:default3:

引用:

Create the Unload Routine
The next piece of code we will look at is the unload routine. This is required in order to be able to unload the device driver dynamically. This section will be a bit smaller as there is not much to explain.

VOID Example_Unload(PDRIVER_OBJECT DriverObject)
{

UNICODE_STRING usDosDeviceName;

DbgPrint("Example_Unload Called \r\n");

RtlInitUnicodeString(&usDosDeviceName, L"\\DosDevices\\Example");
IoDeleteSymbolicLink(&usDosDeviceName);

IoDeleteDevice(DriverObject->DeviceObject);
}
You can do whatever you wish in your unload routine. This unload routine is very simple, it just deletes the symbolic link we created and then deletes the only device that we created which was \Device\Example.

http://www.codeproject.com/KB/system/driverdev.aspx

aaccbbdd - 2008-8-24 11:10:00

冰刃找下试试

文物2 - 2008-8-24 11:17:00

vista系统中，冰刃起不来

aaccbbdd - 2008-8-24 11:17:00

兼容模式运行也不行？:default3:

Wsyscheck呢？

文物2 - 2008-8-24 11:32:00

引用:

原帖由 aaccbbdd 于 2008-8-24 11:17:00 发表
兼容模式运行也不行？:default3:

Wsyscheck呢？

如下图

冰刃在

兼容模式中出了两种提示
1、不支持的操作系统
2、无法初始化

rachelnaonao - 2008-8-24 22:49:00

你好，我已经上传了第一个，但是下载xdeboxl后，我打开只有主题界面，但没有要删除的文件名，抑制再生点击后也没有反应，是不是我操作不对啊？呵呵，我实在太笨了！麻烦了！:default2:

aaccbbdd - 2008-8-24 22:51:00

我的方法
你不试试:default3:

rachelnaonao - 2008-8-25 0:06:00

谢谢大家，已经删除了，呵呵:default5:

sealion325 - 2008-8-25 4:01:00

我还是不会啊，C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2
还是杀不掉，怎么办啊？
帮帮忙啊，谢谢

安全防卫 - 2008-8-25 9:34:00

进安全模式,清空C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

这个临时文件里的所有文件

happysunday2003 - 2008-8-25 11:46:00

我顶

rachelnaonao - 2008-8-25 22:46:00

我用的是aabbccdd的方法，你可以试试啊

为了LM - 2008-9-21 21:42:00

我怎么导入不进去啊,麻烦各位大大教一下我这个小白~谢谢

瑞星卡卡安全论坛