主页被改，中RootKit.Win32.Undef.aeo瑞星删不了 bbs.ikaka.com

vvvss33 - 2009-1-2 20:32:00

主页被http://www.kzxf.net/?1027252，中RootKit.Win32.Undef.aeo瑞星删不了
如何杀除RootKit.Win32.Undef.aeo病毒
病毒名：RootKit.Win32.Undef.aeo
病毒路径：c:\windows\system32\drivers\lcdimt.sys

处理结果：瑞星病毒发布版本21.10.30.00，删除失败
操作系统：Vista
详细描述异常现象：瑞星查杀发现这个病毒，但清除失败、删除也失败，安全模式下一样失败。

另外每次开机后会出现一个提示信息:
加载c:\windows\system32\kiNbayx.dll 时出错拒绝访问

附件: SREngLOG.log

调心 - 2009-1-2 20:48:00

当前版本为21.19.40.
升级查杀.

vvvss33 - 2009-1-2 20:50:00

已升级，还昌杀不了

vvvss33 - 2009-1-2 20:51:00

还是杀不了，删除失败

aaccbbdd - 2009-1-2 21:00:00

解压2个附件到同一文件夹
运行附件1附件

sreng-启动项目－－服务－－驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[ybomtb / ybomtb] <\SystemRoot\system32\drivers\lcdimt.sys>

附件: SmtDel主程序.rar

附件: SmtDel.rar

夲號ヱ被ジ盜 - 2009-1-2 21:02:00

可疑进程
[PID: 1356 / SYSTEM][C:\Windows\System32\WLTRYSVC.EXE] [N/A, ]
试试VISTA自带的间谍软件清除工具

aaccbbdd - 2009-1-2 21:06:00

C:\Windows\System32\WLTRYSVC.EXE
还是建议发上来看看

晕４ - 2009-1-2 21:13:00

:default3:
怎么不留样本。。。

引用:

进程文件： wltrysvc 或者 wltrysvc.exe
进程名称： Broadcom Corporation Wireless Network Tray Applet

描述：
wltrysvc.exe是Broadcom公司无线网络系统托盘程序。
出品者： Belkin
属于： Broadcom Corporation Wireless Network Tray Applet

系统进程：否
后台程序：否
使用网络：否
硬件相关：是
常见错误：未知N/A
内存使用：未知N/A
安全等级 (0-5): 0
间谍软件：否
Adware: 否
病毒：否
木马：否

建议楼主上传此文件以便鉴定。。

aaccbbdd - 2009-1-2 21:15:00

不要根据名称判断:default3:

backway - 2009-1-2 21:24:00

那些文件没问题
SRENG——启动项目——计划任务，建议删除。

WIN+R，运行msconfig，在“启动”里把 kinbayx.dll相关项前的勾取消。如找不到，运行regedit，按ctrl+F，查找它，右键删除再F3,查一下处。

aaccbbdd - 2009-1-2 21:26:00

Vista下谨慎删除计划任务

删除完
瑞星的托盘区是没什么了:default3:

vvvss33 - 2009-1-2 21:29:00

我将两个附件解压到同一个文件夹，跳出的窗口是：la84xj2w,待删除的文件列表是c:\windows\system32\drivers\lcdimt.sys，我按开始处理，结果是失败，重新启动也是原来一样的。

sreng-启动项目－－服务－－驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）：这里怎么没有弹出窗口呢？

backway - 2009-1-2 21:35:00

下载附件里的wsyscheck，在服务管理里找到c:\windows\system32\drivers\lcdimt.sys，右键选择删除选中的文件与服务即可。

附件: wsyscheck0223中文版.rar

aaccbbdd - 2009-1-2 21:38:00

试试这个删除文件

附件: EasyDelete.rar

vvvss33 - 2009-1-2 21:39:00

服务管理那是是空白的

backway - 2009-1-2 21:41:00

忘了你的是V系统，可能用不了。换个东西删除吧，像上上楼的。

vvvss33 - 2009-1-2 21:42:00

下载这个EasyDelete.rar后，打不开，说是请检查用户权限，初始化失败

aaccbbdd - 2009-1-2 21:43:00

不知道Vista里是否有设备管理器
如有
显示隐藏设备
在通用即插即用设备里找到lcdimt.sys
禁用了试试

backway - 2009-1-2 21:45:00

右键选择运行方式，用管理员身份打开。
还不行用附件里的，勾选抑制再生。

附件: 360filekiller.zip

晕４ - 2009-1-2 21:47:00

下载费尔木马强力清除助手：http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

使用费尔木马强力清除助手删除以下文件:
（选择抑压文件再次生成）

C:\windows\system32\drivers\lcdimt.sys

不论结果怎样，执行完以后，都应立即重启电脑

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项删除：
[ybomtb / ybomtb]

aaccbbdd - 2009-1-2 21:52:00

安全模式呢？
试试删除
c:\windows\system32\drivers\lcdimt.sys

同时结合18楼

vvvss33 - 2009-1-2 22:05:00

其它说的都试过了，只有下面的没试过，因为我不知道Vista的设备管理器在那里

不知道Vista里是否有设备管理器
如有
显示隐藏设备
在通用即插即用设备里找到lcdimt.sys
禁用了试试

backway - 2009-1-2 22:07:00

运行devmgmt.msc

backway - 2009-1-2 22:10:00

怎么可能用这么多软件都删除不了。可以的话PE引导，然后删除那个文件吧。

vvvss33 - 2009-1-2 22:24:00

PE引导我不会。不知为什么了。我按你们所说的软件来杀，启动后还在的。总的来说，谢谢您们了。

backway - 2009-1-2 22:27:00

用那些软件勾选抑制再生么？或者删完后在c:\windows\system32\drivers\lcdimt.sys新建一个Icdimt.sys文件夹。

vvvss33 - 2009-1-2 22:42:00

我已经选了不再抑制再生了

backway - 2009-1-2 22:51:00

建议LZ下载个PE，装在硬盘上和系统组成双启动，以后或许也用的到，有好处。PE引导后手工删除那个文件，之后再创建个同名文件夹
下载地址：http://www.xdowns.com/soft/6/99/2008/Soft_45658.html

★【正气大侠】★ - 2009-1-2 23:06:00

手动删除可以吗？

我想可能是误报，最好上报给瑞星检查一下就知道了，

或者这样！你把它压缩，发到这里来！

瑞星卡卡安全论坛