瑞星卡卡安全论坛

2星期以前发现病毒RootKit.Win32.Nodef.eq 。Trojan.Win32.Nodef.jvu。
并且IE被劫持，网站是http://www.9348.cn/?205421
瑞星无法杀掉病毒，无法隔离，无法删除。IE被劫持无法用瑞星卡卡助手修复。无法更改注册表。
病毒无法被导出，无法移动，无法删除。
我以为瑞星会更新以后杀掉病毒，可是2个星期过去了，结果还是一样。查的出杀不掉。
网站继续被劫持。希望瑞星工程师能够帮帮我。。。。。。。谢谢。病毒路径/windows/system32/drivers/ugwll.sys/RootKit.Win32.Nodef.eq

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

建议先在安全模式下全盘杀毒试试。

点击下载 System Repair Engineer
1 、解压缩sreng2.zip
2、 运行SREngldr.exe
3 、智能扫描=》扫描=》保存报告
4 、将刚保存的日志文件以附件方式上传。

我按照你说的把文件传上来以后，你们说这个文件正常啊。。。。。。。。。。
IE继续给劫持，无法修改注册表~~~~~~~~
希望各位专家帮帮忙~~~~~谢谢~~~~

/windows/system32/drivers/ugwll.sys
这个病毒文件在系统内获得了极高权限

不是瑞星简单扫描扫描就可以清除的

用我置顶超级巡警删除工具去删除试试

别对杀软报太大希望，还是平时注意电脑卫生

谢谢~~~~~~~我去试试~~

我想问一下，如果以后所有的病毒都在系统里获得很高的权限的话，是不是所有的杀毒软件都失去了存在的意义呢？
不管怎么样用了瑞星5年我觉得瑞星还是不错的。希望瑞星越来越好。做到全球第一。

各位工程师大哥有没有别的办法杀掉这个病毒啊~~~~~~~~~~~~~~~~~~~~~~谢谢啊~~~~~~~~~~~~~~~~~
实在不行只好格式化了。。。。。。。。。哎~~~~~~~~~~

安全模式下也不能杀掉这个东西~~~~~~~~~~~~~~~哎~~~~~~~~~~~~

你用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

基本上任何病毒如果获得高于杀毒软件的权限，基本上没什么杀毒软件能维持下去的

用冰刃删除行么？不行的话，试试用xdelbox重启删除啊
现在流行病毒都玩驱动了:kaka5: 。。。。。
PS：楼主还是扫个日志上来瞄瞄。。。

扫描结果是这个，斑竹来看看哈~~~~~

附件: SREngLOG.log

弄错了。。。。。。有时间的话明天传上来哈。。。。。。。。

===========================
驱动程序
[Cdsys / Cdsys][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\cdcd.sys><N/A>
[gfhgjh / gfhgjh][Running/Boot Start]
  <\SystemRoot\system32\drivers\ugwll.sys><N/A>
==================================
正在运行的进程（指插入进程的红色DLL模块）
[PID: 556 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\wuRA.dll]  [N/A, ]
==================================
三个病毒，其中两个恶意驱动程序，一个插入资源管理器进程的恶意DLL模块。


建议按照如下步骤操作下：

1、用XDELBOX的DOS重启删除功能，将以下三个文件一次性批量删除掉：
C:\WINDOWS\system32\cdcd.sys
C:\WINDOWS\system32\drivers\ugwll.sys
C:\WINDOWS\system32\wuRA.dll

2、以上操作完成并等待重启重新进入桌面后，用SRENG扫描工具（启动项目--服务--驱动程序）清理以下已无效的病毒驱动：
[Cdsys / Cdsys]
[gfhgjh / gfhgjh]

3、重启电脑，让驱动程序删除的操作生效。

能不能发个XDELBOX，SRENG的下载联接。。。。。。。。谢谢

XDELBOX1.8请下载附件。

SRENG扫描工具就是你扫日志的那个DD，你不是已经有了么，日志都扫出来还要？:kaka8:

附件: XDelBox.rar

不好意思，本人基本上是电脑白痴。。。。。。。现在因为电脑中毒，学到了不少病毒知识。
哈哈。。。。。算是因祸得福吧。

我用你的方法试了一下，第一步可以做第二步要删它的时候说操作取消~~~~~~~~~~~~~~~~哭。。。。。。。
这该死的病毒。。。。。。。。。

顺便问下，这3个病毒对我电脑有什么影响，是不是木马。
实在不行只好格式化了~~~~~~~~~~~~~
:kaka4:

看清提示！删除驱动和服务最后一步是点“否”！

操作完成，病毒还在。。。。。。
还有什么别的方法吗？
我的电脑是笔记本，刚刚买的。。。。。。ASUS的

请扫描个新日志上来

有的时候病毒是不一定要清除的~
只要把启动项给删除了~
留着病毒样本也没事
~瑞星太占资源~
以后不要用杀毒软件了~
我支持你~o(∩_∩)o...哈哈~

该用户帖子内容已被屏蔽

重新扫描了个日志。。。。。。。
顺便问下，是不是这3个病毒劫持了我的浏览器？
浏览器也没有办法恢复。

附件: SREngLOG.log

这里下载冰刃 http://www.onlinedown.net/soft/53325.htm



文件中找到这两个文件强制删除:

c:\windows\system32\wura.dll
c:\windows\system32\drivers\ugwll.syss


打开SRE-启动项目-服务-驱动程序删除下面这个：
[ugwl / gfhgjh]


清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

25楼的，你的东西无法安装。不知道为什么。
安装就提醒错误。

谢谢瑞星工程师~~~~~~~~~~~~~~~~~~~~病毒清理干净了。IE劫持也好了。
以后有什么问题我还会来麻烦各位的~~~~~~~~~
最后还是要支持瑞星啊~~~~~~~~~~~~~~~

使用光盘引导，用光盘杀毒试试看。