瑞星卡卡安全论坛

郁闷，Rootkit.win32.mnless.asy病毒怎么去除不掉啊！！！！！还望友友们来帮帮我

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618)

等楼主5分钟
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

:kaka2: :kaka10:


郁闷中。。。。。。。。火！火！火！火！火！！！

附件: SREngLOG.log

:default7: 日志扫描见三楼附件。现在开机杀毒就有新病毒出现，快帮我看看怎么搞！！谢谢:default71:

你的是vista的系统，由于不太懂，可能会有遗漏，你的计划任务里太多东西了，你看下都是你需要的吗？

1.vista系统的建议下载费尔木马强力清除助手删除以下文件：
使用时记住勾选"清除，并抑制文件再次生成"

c:\windows\system32\iexplorer.exe
c:\windows\test.bat
c:\windows\system32\mywcc090404.dll
c:\windows\system32\xr5nphu9.dll
c:\windows\system32\efc0c52cc1.dll
c:\windows\system32\d9c002dd.dll
c:\windows\fonts\x7s7xgtp.fon
c:\windows\fonts\gpwrf8rwxb.fon
c:\windows\fonts\f13erxr2urh.fon
c:\windows\system32\etgbjk2ycxnm.dll
c:\windows\system32\bmsg6pdmd4ht.dll
c:\windows\system32\ws0gwmz.dll
c:\windows\system32\lifpcibi.dll
c:\windows\system32\webcheck.dll
c:\program files\remote\remote.exe
c:\windows\system32\avtapit.dll
c:\windows\system32\psosvor.exe
c:\users\ceo\appdata\local\temp\~1004323.tmp
c:\windows\system32\drivers\zxkb.sysys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[Unattend0000000001{0D12E576-92EF-4E85-9A29-F4B780F67C87}]    <C:\Windows\test.bat>
[ccsnahh]    <rundll32.exe C:\Windows\system32\mywcc090404.dll bgdll>
[{C10D41C6-4D17-4808-87CE-40612862A1BB}]    <C:\Windows\system32\XR5nPhu9.dll>
[{028A997C-4262-4107-BD46-2ABBC6143E8C}]    <C:\Windows\system32\efc0c52cc1.dll>
[{D9C002DD-EA51-43A2-9009-54EAAAF031A4}]    <C:\Windows\system32\D9C002DD.dll>
[{B70A8AAD-F18A-465E-8240-184DD5845D2D}]    <C:\Windows\fonts\X7s7xgtP.fon>
[{0127FA15-17DA-4FA3-9675-49BB9CF57053}]    <C:\Windows\fonts\gPwRF8Rwxb.fon>
[{E11FB24A-F766-4D0F-ADF5-237958FFA262}]    <C:\Windows\fonts\f13ERxR2Urh.fon>
[{FEACAF74-8D58-42F4-AB39-1CDA51437347}]    <C:\Windows\system32\etGBJk2YCXnM.dll>
[{737858A9-9AEA-4838-9B49-54DA731F7F37}]    <C:\Windows\system32\BMsg6pdMD4ht.dll>
[{3A5700C3-2847-4CBE-A3E5-F0C394690C9A}]    <C:\Windows\system32\wS0GWMZ.dll>
[{52F9C2B2-BEAC-4225-B4F7-5E2B3E74C80C}]    <C:\Windows\system32\lifpcibi.dll>
[WebCheck]    <C:\Windows\system32\webcheck.dll>
[52F9C2B2]    <C:\Windows\system32\lifpcibi.dll>
[IFEO[Thunder5.exe]]    <svchost.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Remote 2008 / Remote_Server_2008]    <C:\Program Files\Remote\Remote.exe>
[WbWin / WbWin]    <C:\Windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\avtapit.dll>
[portablecess Remoter / Logssallogsvb]    <C:\Windows\system32\psosvor.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[zx / zx]    <\??\C:\Users\ceo\AppData\Local\Temp\~1004323.tmp>
[zxk / fmztj]    <\SystemRoot\system32\drivers\zxkb.sysys>

**************以上分析报告由SREngLog分析助手提供******************
分析：chuanshao
时间：2009-4-9



3.下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp.rar  (升级后使用)

下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe

这家伙的东西里面病毒好像不止一个，迅雷怎么也被胁持了。按楼上去做应该就没问题了。

:kaka6: 还是没搞定，郁闷中.............

你的反间谍软件WINDOWS DEFENDER没开？
Rootkit.win32.mnless.asy已经下载木马群
用费尔木马文件删除工具删除以下文件
内附操作说明图。（Vista SP1下可以运行）
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

C:\Windows\system32\iexplorer.exe
SRENG工具删除以下
驱动程序
[zx / zx][Stopped/Disabled]
  <\??\C:\Users\ceo\AppData\Local\Temp\~1004323.tmp><N/A>
删除以下启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{C10D41C6-4D17-4808-87CE-40612862A1BB}><C:\Windows\system32\XR5nPhu9.dll>  [File is missing]
    <{028A997C-4262-4107-BD46-2ABBC6143E8C}><C:\Windows\system32\efc0c52cc1.dll>  [File is missing]
    <{D9C002DD-EA51-43A2-9009-54EAAAF031A4}><C:\Windows\system32\D9C002DD.dll>  [File is missing]
    <{B70A8AAD-F18A-465E-8240-184DD5845D2D}><C:\Windows\fonts\X7s7xgtP.fon>  [File is missing]
    <{0127FA15-17DA-4FA3-9675-49BB9CF57053}><C:\Windows\fonts\gPwRF8Rwxb.fon>  [File is missing]
    <{E11FB24A-F766-4D0F-ADF5-237958FFA262}><C:\Windows\fonts\f13ERxR2Urh.fon>  [File is missing]
    <{FEACAF74-8D58-42F4-AB39-1CDA51437347}><C:\Windows\system32\etGBJk2YCXnM.dll>  [File is missing]
    <{737858A9-9AEA-4838-9B49-54DA731F7F37}><C:\Windows\system32\BMsg6pdMD4ht.dll>  [File is missing]
    <{3A5700C3-2847-4CBE-A3E5-F0C394690C9A}><C:\Windows\system32\wS0GWMZ.dll>  [File is missing]
    <{52F9C2B2-BEAC-4225-B4F7-5E2B3E74C80C}><C:\Windows\system32\lifpcibi.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<52F9C2B2><C:\Windows\system32\lifpcibi.dll>  [File is missing]
检查这2个文件的版本


    C:\Windows\explorer.exe
    C:\Windows\system32\userinit.exe

:default8: 不会了，还是没清除掉。。。。。:default4:

发新日志看看

:default23: 用第一步的清除结果提示：19个文件17个不存在。c:\windows\system32\webcheck.dll和c:\program files\remote\remote.exe两个文件提示重启电脑后清除。什么原因呢？？？

新日志看看
。。

去这下载EasyDelete 试试看呢http://bbs.ikaka.com/showtopic-8442813.aspx#3637415
顺便再扫个新日志发上来

    :default7: 没辙了，快帮我看看，谢谢

附件: SREngLOG2.log

:default27: 试过了，好像用不起来吧？？提示：初始化失败，请检查账户权限。Path/File access error

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\Windows\system32\drivers\zxkb.sysys
C:\Windows\system32\drivers\zxkb.sys
C:\Windows\system32\drivers\zxkb.syss

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[zxk / fmztj]    <\SystemRoot\system32\drivers\zxkb.sysys>

:default23: 窗口提示：你使用的操作系统将不支持DOS删除，但仍能实现重启延迟删除。

        :default51:  早安，朋友。好多方式都试过了。。。病毒还是没去掉。刚刚我又扫描了一下，在帮我看看。对了，前天我在论坛里看帖子时，有朋友的帖子里写着可以让瑞星工程师远程，不知是否可行，具体怎么操作，还望指点一下。我呢，白天上班，只有晚上21：00以后有时间，不过我可以找我哥们过来帮着配合操作。。。。:default71:

附件: SREngLOG3.log

rootkit病毒多是作为驱动存在系统中的，有可能加载在系统进程上，被系统调用的文件是无法被杀毒软件清除的 。
建议采取以下几种方式：
1.安装卡卡助手，之后重启动计算机，计算机启动后，再使用升级到最新版本的杀毒软件来杀毒。
2.使用瑞星引导光盘来引导计算机启动杀毒。
3.将硬盘摘下来，作为从盘，挂在其他计算机上，使用瑞星最新版本来杀毒。
4.在设备管理器上，显示所有隐藏设备后，找到病毒文件对应的驱动，将其停用和卸载后，直接删除染毒文件。

我置顶贴有其他删除工具

只是这玩意删除后，是否对v系统构成较大影响，很难说的。

建议去安全模式下试试删除操作