瑞星卡卡安全论坛

请教Rootkit.win32.Undef.ox 是什么病毒?每次查杀后还是会有
路径: c:\windows\system32\drivers\zndsk.sys
主页被OK2345强行篡改了无法修复 . 请高手指教如何解决.谢谢!

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7)

附件: SREngLOG.log

请提供病毒的完整路径

使用System Repair Engineer扫描日志
http://hi.baidu.com/smallfrogs/blog/item/de28f11fa811eef0e1fe0b60.html
并将日志作为附件上传

操作方法：
1、下载后解压缩，运行“SREngLdr.EXE”；
2、如果无法打开请尝试运行“123.com”或“123.bat”；
3、打开后依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

日志文件保存后，直接将日志文件以附件的形式发这论坛来。
点击：我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了。

你可以使用：


使用瑞星开机杀毒（在详细任务---定制任务---勾选开机查杀，然后在开机查杀---设置查杀对象--勾选系统盘）

或开机按F8，进入安全模式用杀软全盘杀毒。

或者用xdelbox删除瑞星报的那个文件
XDelBox的使用方法

病毒路径一定要提供

Rootkit.win32.Undef.ox 病毒
路径: C:\WINDOWS\system32\drivers.

附件: SREngLOG.log

C:\WINDOWS\system32\drivers\zndsk.syss

  SRENG-  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[znds / zndsk][Running/Boot Start]
  <\SystemRoot\system32\drivers\zndsk.syss><N/A>

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\zndsk.syss

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[znds / zndsk]    <\SystemRoot\system32\drivers\zndsk.syss>

**************以上分析报告由SREngLog分析助手提供******************
分析：草莽书生
时间：2008-9-21
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)


自动清理方案操作步骤：

1。下载通用病毒杀灭机正式版(点击下载)，请先参考软件帮助说明。

2。复制符号区域的修复指令或者下载附件中的修复指令文件*.dat 。

  ========指令正文，复制以下内容========

[复制到剪贴板]

CODE:

复制指令区

========指令结束，复制以上内容========

3。打开通用病毒杀灭机（打不开的建议改名，如abc.exe，abc.bat等），复制修复指令者使用剪贴板导入；下载修复指令文件的使用文件导入
    重启即可删除病毒，并帮助你删除自启动项和禁用服务。

（注：第一次重启有时候会弹出文件夹，那是由于自启动项目还没有删除，而文件已经被XDELBOX删除并用文件夹替代的结果）

用了你说的办法删除了那些但病毒还是没有清除.

没法
你没说明病毒的完整路径

只能单单靠日志了

文件的扩展名好奇怪啊，是不是隐藏了

个人认为是回写

当然
rookits是隐藏的

附件: SREngLOG.log (2008-9-22 12:55:02, 52.75 K)
该附件被下载次数 96