瑞星卡卡安全论坛

前天就发现这个病毒RootKit.Win32.Agent.ewp ， 怎么杀也不行，我用的是瑞星网络版，求大家帮解决下，看了几个贴子之后自己也下了一个SRENG，可也杀不了，也许我不会用，看了使用说明，还是不明白，请大大们帮个忙，给个简便点的方法，十分感谢。。。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQDownload 1.7; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

网上找了下，只有一个搜多结果，今天发的求助
http://wenwen.soso.com/z/q130945883.htm
看看是否符合那个情况
另外有没有在安全模式下杀毒，或者用其他工具粉碎该文件
扫SRENG日志发这论坛来
下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。
建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助，随意开多贴求助，将被删除多余求助贴。

还有怎么上报日志？:kaka2:

点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

没发错吧:kaka2:

附件: 2.txt

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

c:\windows\system32\drivers\qiwil.sys
c:\windows\system32\drivers\zbvde.sys
C:\WINDOWS\system32\CPShlH.dll
C:\WINDOWS\system32\ziI.dll
用WINRAR打包上传这里，然后.使用XDelBox（Xdelbox解压后运行）删除这些文件
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
http://www.dodudou.com/down/index.php?dirpath=./01.%D4%AD%B4%B4%C8%ED%BC%FE&order=0
下载地址

附件: SREngLOG.log

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\zii.dll
c:\windows\system32\drivers\qiwil.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[AppInit_DLLs]修改：把<1,kmon.dll>修改为<kmon.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[wlozjra / wlozjra]    <\SystemRoot\system32\drivers\qiwil.sys>

是不是添加这两个路径
c:\windows\system32\drivers\qiwil.sys
c:\windows\system32\zii.dll

请认真看9楼，没有让你手动添加的提示……:default21:

怎么复制所有要删除文件的路径？:kaka12:
我有点笨。。。。呵呵

先选中文字
鼠标右键单击调出快捷菜单

这是新的日志，麻烦你看看，好象没管用？

附件: SREngLOG.log

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\zii.dll
c:\windows\system32\drivers\qiwil.syss
c:\windows\system32\drivers\qiwil.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[wlozjra / wlozjra]    <\SystemRoot\system32\drivers\qiwil.syss>

还不行的话
试试这个方法
http://bbs.ikaka.com/showtopic-8502100.aspx
删除

c:\windows\system32\zii.dll
c:\windows\system32\drivers\qiwil.syss
c:\windows\system32\drivers\qiwil.sys

c:\windows\system32\zii.dll
c:\windows\system32\drivers\qiwil.syss
c:\windows\system32\drivers\qiwil.sys
用PE删除这三个路径的文件吗？

对
其实PE下就应该只删除
c:\windows\system32\zii.dll
c:\windows\system32\drivers\qiwil.syss

c:\windows\system32\drivers\qiwil.sys
应该是不存在的
列出该项是为了使用XDELbox抑制再生

通用1.4PE
点了下载地址，没资源下载。。。。。
你还有可用的下载地址吗？十分感谢

http://www.xiazaiba.com/downinfo/1264.html
这个PE也行

在PE删除了c:\windows\system32\zii.dll
可好象还是不行？

再传个新日志麻烦你看看

附件: SREngLOG.log

提示说：
警告；注册表值AppInit_DLLs被修改为非正常值（默认值是空）。请检查你的系统中可能存在的计算机病毒

日志显示它还在运行中，你去我置顶工具贴先下载超级巡警抑制再生删除试试
==================================
驱动程序
[qiwi / wlozjra][Running/Boot Start]
  <\SystemRoot\system32\drivers\qiwil.syss><N/A>

删除：
C:\WINDOWS\system32\drivers\qiwil.syss

如果还不行，就试试EasyDelete工具删除它试试，应该可以解决的。

如果没耐心看工具内附操作说明的话

或者自己实在不会操作

就去送修吧，最快的处理方式了。

天月。:kaka7:

附件: SREngLOG.log

看上面的方法 强制删除
c:\windows\system32\drivers\jsym.sys

用SRE删除驱动程序:
[jsy / ltno]

麻烦看看

附件: ToDelFiles.txt

这个是嘛？

sreng日志呢

这是我刚强制删除之后的日志

附件: SREngLOG.log