可恶的RootKit.Win32.Agent.fay 恳请高手来弄死它！ bbs.ikaka.com

爱新觉罗滔 - 2009-6-18 19:53:00

:kaka10: 高手我用瑞星查出 RootKit.Win32.Agent.fay c:\windows\system32\drivers\nswmj.sys但是删不掉怎么弄！安全模式下没办法，用了很多自称很牛逼的软件都没办法，兄弟我实在没办法只有来这里找高手了，请高手指点啊！

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; QQDownload 538; EzCenterExplorer; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618; InfoPath.2)

附件: SREngLOG.log

lrxyhrm - 2009-6-18 20:00:00

http://zhidao.ikaka.com/Aspx/Html/StaticHtml/296/296551.html
用PE引导杀毒。

爱新觉罗滔 - 2009-6-18 20:05:00

行吗？

lrxyhrm - 2009-6-18 20:08:00

只要能查出来的病毒都可以杀掉。

爱新觉罗滔 - 2009-6-18 20:15:00

哦谢谢了！

超级游戏迷 - 2009-6-18 20:42:00

个人认为日志中的异常项目如下，几个伪微软签名的病毒文件是其根源，估计能通过远程计算机在本地建立计划任务，造成屡杀不死的现象：
========================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<e26b><rundll32 "C:\Windows\Downlo~1\e26b.dll",Run> [Microsoft Corporation]

服务
[Gebley / Gebley][Stopped/Auto Start]
<C:\Windows\system32\1r7b.exe><(File is missing)>
[OSEvent / OSEvent][Stopped/Auto Start]
<C:\Windows\system32\t.exe><Microsoft Corporation>

驱动程序
[xflirgh / xflirgh][Running/Boot Start]
<\SystemRoot\system32\drivers\nswmj.sys><N/A>

浏览器加载项
[Invoke Class]
{C44A4F21-CD5E-44fd-BB98-E27579F275B5} <C:\Windows\system32\2cp5.dll, N/A>
[Invoke Class]
{C44A4F21-CD5E-44FD-BB98-E27579F275B5} <C:\Windows\system32\2cp5.dll, N/A>

正在运行的进程（仅指插入进程的DLL模块，红色的就是）
[PID: 324 / hp][C:\Windows\Explorer.EXE] [(Verified) Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\Windows\Downlo~1\e26b.dll] [Microsoft Corporation, 5, 3, 2600, 2180]
[PID: 3516 / hp][C:\Windows\system32\rundll32.EXE] [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\Windows\Downlo~1\e26ac.dll] [Microsoft Corporation, 8, 90, 1101, 0]

计划任务
[已启用] \\e26ac
rundll32 C:\Windows\Downlo~1\e26ac.dll,Always
[已启用] \\e26b
rundll32 C:\Windows\Downlo~1\e26b.dll,Run
============================

超级游戏迷 - 2009-6-18 20:59:00

个人设计的手工清除病毒的思路是：

1、先设法阻止c:\windows\system32\rundll32.exe加载运行C:\Windows\Downloaded Program Files\e26b.dll、C:\Windows\Downloaded Program Files\e26ac.dll这两个病毒文件，让病毒通过远程计算机在本地建立病毒计划任务的阴谋破产（我还没想出较好的办法，有待高手指点）；

2、使用有效工具一次性批量处理掉以下病毒文件：
C:\Windows\system32\1r7b.exe
C:\Windows\system32\t.exe
C:\Windows\system32\drivers\nswmj.sys
C:\Windows\system32\2cp5.dll
C:\Windows\Downloaded Program Files\e26b.dll
C:\Windows\Downloaded Program Files\e26ac.dll

3、处理掉病毒添加的注册表、服务、驱动、浏览器加载项、计划任务（楼上的就是了）；

4、以上全搞完后再重启电脑，估计就差不多了。

有待高手来研究探讨……

夲號ヱ被ジ盜 - 2009-6-18 21:03:00

给你提供个工具【压缩包内附说明】

附件: XDelBox.rar

超级游戏迷 - 2009-6-18 21:05:00

提示下，楼主的机是VISTA……:kaka11:

爱新觉罗滔 - 2009-6-18 21:26:00

对一楼的办法没法啊！我用过了

爱新觉罗滔 - 2009-6-18 21:26:00

啊！可以给我个具体的方案不啊！

backway - 2009-6-18 21:28:00

这样吧：
复制下面文件到记事本保存为名为aa.bat的文件：

[复制到剪贴板]

CODE:

schtasks /delete /tn e26ac /f
schtasks /delete /tn e26b /f
pause

双击运行aa.bat看上面啥提示。

下载XueTr0.27.rar 解压运行在“文件”选项里找到上上楼游戏迷说的那些文件右键选择强制删除
之后重启

爱新觉罗滔 - 2009-6-18 21:37:00

我运行了那个bat文件上面说的不存在e26ac和e26b文件啊！

backway - 2009-6-18 21:46:00

我实在不知道那2个计划任务名称是什么，

上面提示不存在指定任务名？？

你运行sreng，启动项目——计划任务，下面找到
\e26ac]
rundll32 C:\Windows\Downlo~1\e26ac.dll,Always
\\e26b]\\e26b
rundll32 C:\Windows\Downlo~1\e26b.dll,Run

看上面显示的计划任务名称是啥。
应该是e26ac ,e26b......

超级游戏迷 - 2009-6-18 21:58:00

建议用WINRAR压缩工具按路径找下这几个文件，找到几个算几个，找到后用WINRAR分别压缩打包，上传上来，压缩包名称修改为“可疑文件-1”、“可疑文件-2”……等等，避免搞不清情况的会员胡乱下载：
C:\Windows\system32\t.exe
C:\Windows\system32\drivers\nswmj.sys
C:\Windows\system32\2cp5.dll
C:\Windows\Downloaded Program Files\e26b.dll
C:\Windows\Downloaded Program Files\e26ac.dll

爱新觉罗滔 - 2009-6-18 21:58:00

就是不存在啊 ! 用你的方法我也没找到！

爱新觉罗滔 - 2009-6-18 22:11:00

ok

附件: SREngLOG.log

附件: 可疑文件.rar

backway - 2009-6-18 22:11:00

那计划任务就先甭管了按游戏迷说的弄下那些文件吧
上传后再用xuetr删掉那些文件然后重新扫描上传sreng日志

夲號ヱ被ジ盜 - 2009-6-18 22:12:00

http://bbs.ikaka.com/showtopic-8628361.aspx
还不行的话试试！瑞星支持32位VISTA开机查杀

爱新觉罗滔 - 2009-6-18 22:17:00

强删还是没删掉！

backway - 2009-6-18 22:25:00

现在工具给你了要删的文件也给你了自己多变通一下

xuetr里操作时，右键那个文件先勾选删除后阻止文件再生然后点强制删除
再删下一个文件

还删不了的话选择添加到重启删除

或者会用PE系统的话进PE里删

爱新觉罗滔 - 2009-6-18 22:28:00

ok!貌似我删掉了谢谢！高手指点高手就是高手！

backway - 2009-6-18 22:30:00

删掉然后重启再扫份日志上来看看吧

爱新觉罗滔 - 2009-6-19 18:12:00

hookhelp.sys 是什么文件啊！

爱新觉罗滔 - 2009-6-19 18:13:00

今天的

附件: SREngLOG.log

sjwaihy - 2009-6-19 18:15:00

我也中了这个毒。
下了这个工具，打开工具后不清楚里面的“复制进等待删除的文件”是指病毒名RootKit.Win32.Agent.fay 吗？还是需要路经什么的？
我不太懂电脑，怕删错东西。

sjwaihy - 2009-6-19 18:17:00

你还没删掉吗？

sjwaihy - 2009-6-19 18:20:00

文件名:XDelBox.rar
下载次数:13
文件类型:application/octet-stream
文件大小: 1011.35 K
上传时间:2009-6-18 21:03:14
描述:rar

不知道它的用法，说下:kaka6:

backway - 2009-6-19 18:49:00

回复：爱新觉罗滔

把C:\Windows\system32\1r7b.exe提取上来

然后继续用昨晚那工具删除：

C:\Windows\system32\1r7b.exe
C:\Windows\system32\drivers\nswmj.sys
C:\Windows\system32\2cp5.dll
C:\Windows\Downloaded Program Files\e26b.dll
C:\Windows\Downloaded Program Files\e26ac.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[e26b] <rundll32 "C:\Windows\Downlo~1\e26b.dll",Run>

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[facey / facey] <C:\Windows\system32\1r7b.exe>
[Gebley / Gebley] <C:\Windows\system32\1r7b.exe>
[OSEvent / OSEvent] <C:\Windows\system32\t.exe>
[facey / facey] <C:\Windows\system32\1r7b.exe>
[Gebley / Gebley] <C:\Windows\system32\1r7b.exe>

启动项目－－服务－－驱动程序之如下项禁用：
[xflirgh / xflirgh] <\SystemRoot\system32\drivers\nswmj.sys>

运行taskschd.msc,点下计划任务程序库，再右边点下e26ac 再在其右边点下删除

瑞星卡卡安全论坛