RootKit.Win32.Agent.fay这个病毒怎么杀呀，困扰了我好久了。求高手赐教。 bbs.ikaka.com

一千年以前 - 2009-7-10 18:10:00

RT

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; EmbeddedWB 14.52 from: http://www.bsalsa.com/ EmbeddedWB 14.52)

天月来了 - 2009-7-10 18:11:00

详细病毒文件名和路径说来

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具 (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

一千年以前 - 2009-7-10 18:38:00

引用:

原帖由 天月来了 于 2009-7-10 18:11:00 发表
详细病毒文件名和路径说来

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具 (内附说明）（右键选择“目标另存为”下载）本链接不支

我是菜鸟，不知道怎么发附件。或者我直接把病毒文件名和路径打上来吧。

文件名：rzyyi.sys
全路径：c:\windows\system32\drivers\rzyyi.sys
病毒名：RootKit.Win32.Agent.fay

一千年以前 - 2009-7-10 18:41:00

我那个帖又是另外的病毒了。

天月来了 - 2009-7-10 18:42:00

日志日志

需要日志

照我说的扫描日志来

原本可以置顶工具贴找超级巡警删除这个c:\windows\system32\drivers\rzyyi.sys文件

但是怕原始驱动项不改，会系统异常，所以还是来日志吧

一千年以前 - 2009-7-10 18:42:00

运行sr-engldr后，出现很多乱码,所以无法截图。

一千年以前 - 2009-7-10 18:55:00

引用:

原帖由 天月来了 于 2009-7-10 18:42:00 发表
日志日志

需要日志

照我说的扫描日志来

原本可以置顶工具贴找超级巡警删除这个c:\windows\system32\drivers\rzyyi.sys文件

但是怕原始驱动项不改，会系统异常，所以还是来日志吧

打开sr-engldr以后，出现以下图象。

天月来了 - 2009-7-10 18:59:00

只管按照我的说明图的位置去扫描日志来

其他别管了

没文字就照图来嘛

一千年以前 - 2009-7-10 19:21:00

引用:

原帖由 天月来了 于 2009-7-10 18:59:00 发表
只管按照我的说明图的位置去扫描日志来

其他别管了

没文字就照图来嘛

天月来了 - 2009-7-10 19:24:00

点击左边最下角的那个，就是保存日志

甜心微笑 - 2009-7-10 19:31:00

该用户帖子内容已被屏蔽

一千年以前 - 2009-7-10 19:33:00

引用:

原帖由 天月来了 于 2009-7-10 19:24:00 发表
点击左边最下角的那个，就是保存日志

好了。明白了。

附件: SREngLOG.log

sytu_sj1988 - 2009-7-10 20:10:00

去www.virscan.org 扫描下面文件。反馈结果，没有报毒的就别管了。
C:\WINDOWS\Downlo~1\8d0b.dll
C:\WINDOWS\system32\drivers\rzyyi.sys
C:\WINDOWS\system32\7dc5.dll

一千年以前 - 2009-7-10 21:38:00

引用:

原帖由 sytu_sj1988 于 2009-7-10 20:10:00 发表
去www.virscan.org 扫描下面文件。反馈结果，没有报毒的就别管了。
C:\WINDOWS\Downlo~1\8d0b.dll
C:\WINDOWS\system32\drivers\rzyyi.sys
C:\WINDOWS\system32\7dc5.dll

是这个扫描结果吗？

浪漫纸箱 - 2009-7-10 21:47:00

这个不是您的文件扫描结果，文件要将其上传到www.virscan.org 网站上。然后就会出现扫描结果。

一千年以前 - 2009-7-10 21:58:00

VirSCAN.org Scanned Report :
Scanned time : 2009/07/10 21:56:52 (CST)
Scanner results: 68%的杀软(26/38)报告发现病毒
File Name : 8d0b.dll
File Size : 53248 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : dc02df9d6e937363b5b98983dea4104a
SHA1 : 4e6b45fdc2dd3d896e216d9d04f9ca41d38d05d7
Online report : http://virscan.org/report/7f248566ae74c18da4715c164a3e1b4d.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.1 20090710200159 2009-07-10 0.39 Virus.Win32.Agent.GRW!IK
安博士V3 2009.07.10.00 2009.07.10 2009-07-10 0.73 -
AntiVir 8.2.0.204 7.1.4.217 2009-07-10 0.32 TR/Agent.49152
安天 2.0.18 20090708.2604486 2009-07-08 0.12 -
Arcavir 2009 200907101139 2009-07-10 0.03 Downloader.Agent.Cfoa
Authentium 5.1.1 200907091500 2009-07-09 1.14 W32/Heuristic-KPP!Eldorado (Heuristic)
AVAST! 4.7.4 090709-0 2009-07-09 0.01 Win32:Agent-GRW [Trj]
AVG 8.5.288 270.13.9/2229 2009-07-10 0.30 Downloader.Agent2.EKJ
BitDefender 7.81008.3668307 7.26492 2009-07-10 3.27 Adware.BDSearch.1
CA (VET) 9.0.0.143 31.6.6606 2009-07-10 6.61 Win32/Jhee.H trojan.
ClamAV 0.95.2 9551 2009-07-09 0.02 Trojan.Downloader-72360
Comodo 3.10 1604 2009-07-10 0.69 UnclassifiedMalware
CP Secure 1.1.0.715 2009.07.08 2009-07-08 11.07 -
Dr.Web 4.44.0.9170 2009.07.10 2009-07-10 4.87 Trojan.DownLoader.origin
F-Prot 4.4.4.56 20090709 2009-07-09 1.12 Possible W32/Heuristic-KPP!Eldorado (not disinfectable)
F-Secure 5.51.6100 2009.07.10.09 2009-07-10 0.10 Trojan-Downloader.Win32.Agent.cfoa [AVP]
飞塔 2.81-3.120 10.591 2009-07-10 0.18 W32/Agent.CFOA!tr.dldr
GData 19.6373/19.391 20090710 2009-07-10 5.07 Trojan-Downloader.Win32.Agent.cfoa [Engine:A]
ViRobot 20090710 2009.07.10 2009-07-10 0.74 -
Ikarus T3.1.01.64 2009.07.10.73011 2009-07-10 3.04 Virus.Win32.Agent.GRW
江民杀毒 11.0.800 2009.07.09 2009-07-09 6.19 TrojanDownloader.Agent.bkot
卡巴斯基 5.5.10 2009.07.10 2009-07-10 0.07 Trojan-Downloader.Win32.Agent.cfoa
金山毒霸 2009.2.5.15 2009.7.10.21 2009-07-10 0.70 Heur.Win32.Generic.c
迈克菲 5.3.00 5671 2009-07-09 2.93 -
Microsoft 1.4803 2009.07.10 2009-07-10 7.24 Trojan:Win32/Jhee.G
mks_vir 2.01 2009.07.09 2009-07-09 3.18 -
Norman 6.01.09 6.01.00 2009-07-09 4.01 W32/Agent.dam
熊猫卫士 9.05.01 2009.07.09 2009-07-09 3.22 -
趋势科技 8.700-1004 6.266.02 2009-07-10 0.04 -
Quick Heal 10.00 2009.07.10 2009-07-10 1.08 TrojanDownloader.Agent.cfoa
瑞星 20.0 21.37.44.00 2009-07-10 0.99 -
Sophos 2.88.0 4.43 2009-07-10 2.95 -
Sunbelt 5241 5241 2009-07-09 2.02 Adware.Bdsearch
赛门铁克 1.3.0.24 20090709.003 2009-07-09 0.05 -
nProtect 20090710.02 4684596 2009-07-10 8.68 Trojan-Downloader/W32.Agent.53248.JV
The Hacker 6.3.4.3 v00363 2009-07-07 0.68 Trojan/Downloader.Agent.cfoa
VBA32 3.12.10.8 20090709.1544 2009-07-09 2.69 Trojan-Downloader.Win32.Agent.cfoa
VirusBuster 4.5.11.10 10.108.2/1805230 2009-07-09 2.46 -

一千年以前 - 2009-7-10 22:02:00

C:\WINDOWS\system32\drivers\rzyyi.sys——————没有发现文件。

VirSCAN.org Scanned Report :
Scanned time : 2009/07/10 22:01:20 (CST)
Scanner results: 13%的杀软(5/38)报告发现病毒
File Name : 7dc5.dll
File Size : 65536 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : 85e10356df1f21c2aa9301abd2b1e36b
SHA1 : ccd20ff1fc71eaea2e44af54158a869323ece482
Online report : http://virscan.org/report/309058aea6f02f6d488854a82cfe832d.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.1 20090710200159 2009-07-10 0.42 Riskware.AdWare.Win32.BHO!IK
安博士V3 2009.07.10.00 2009.07.10 2009-07-10 0.94 -
AntiVir 8.2.0.204 7.1.4.217 2009-07-10 0.48 -
安天 2.0.18 20090708.2604486 2009-07-08 0.12 -
Arcavir 2009 200907101139 2009-07-10 0.04 -
Authentium 5.1.1 200907091500 2009-07-09 1.31 -
AVAST! 4.7.4 090709-0 2009-07-09 0.01 -
AVG 8.5.288 270.13.9/2229 2009-07-10 0.33 -
BitDefender 7.81008.3668307 7.26492 2009-07-10 3.22 Gen:Adware.Heur.401CE39191
CA (VET) 9.0.0.143 31.6.6606 2009-07-10 6.21 -
ClamAV 0.95.2 9551 2009-07-09 0.02 -
Comodo 3.10 1604 2009-07-10 0.69 -
CP Secure 1.1.0.715 2009.07.08 2009-07-08 11.09 -
Dr.Web 4.44.0.9170 2009.07.10 2009-07-10 5.10 -
F-Prot 4.4.4.56 20090709 2009-07-09 1.31 -
F-Secure 5.51.6100 2009.07.10.09 2009-07-10 0.12 -
飞塔 2.81-3.120 10.591 2009-07-10 0.21 -
GData 19.6373/19.391 20090710 2009-07-10 5.94 -
ViRobot 20090710 2009.07.10 2009-07-10 0.43 -
Ikarus T3.1.01.64 2009.07.10.73011 2009-07-10 3.11 not-a-virus:AdWare.Win32.BHO
江民杀毒 11.0.800 2009.07.09 2009-07-09 6.70 -
卡巴斯基 5.5.10 2009.07.10 2009-07-10 0.11 -
金山毒霸 2009.2.5.15 2009.7.10.21 2009-07-10 0.56 -
迈克菲 5.3.00 5671 2009-07-09 2.93 Generic PWS!hv.ah
Microsoft 1.4803 2009.07.10 2009-07-10 5.58 -
mks_vir 2.01 2009.07.09 2009-07-09 3.23 -
Norman 6.01.09 6.01.00 2009-07-09 4.00 -
熊猫卫士 9.05.01 2009.07.09 2009-07-09 2.03 -
趋势科技 8.700-1004 6.266.02 2009-07-10 0.03 -
Quick Heal 10.00 2009.07.10 2009-07-10 1.09 -
瑞星 20.0 21.37.44.00 2009-07-10 0.86 -
Sophos 2.88.0 4.43 2009-07-10 2.79 -
Sunbelt 5241 5241 2009-07-09 1.69 -
赛门铁克 1.3.0.24 20090709.003 2009-07-09 0.34 -
nProtect 20090710.02 4684596 2009-07-10 8.20 Gen:Adware.Heur.401CE39191
The Hacker 6.3.4.3 v00363 2009-07-07 0.75 -
VBA32 3.12.10.8 20090709.1544 2009-07-09 2.28 -
VirusBuster 4.5.11.10 10.108.2/1805230 2009-07-09 2.25 -

浪漫纸箱 - 2009-7-10 22:04:00

C:\WINDOWS\Downlo~1\8d0b.dll
C:\WINDOWS\system32\drivers\rzyyi.sys
C:\WINDOWS\system32\7dc5.dll
请楼主有附件里的文件提取上面的文件，并压缩后发上来。
然后，用附件里第二个文件，删除以上文件就可以了。

附件: ARPick.rar

附件: FileForceKiller暴力删除器.rar

一千年以前 - 2009-7-10 22:18:00

引用:

原帖由 浪漫纸箱 于 2009-7-10 22:04:00 发表
C:\WINDOWS\Downlo~1\8d0b.dll
C:\WINDOWS\system32\drivers\rzyyi.sys
C:\WINDOWS\system32\7dc5.dll
请楼主有附件里的文件提取上面的文件，并压缩后发上来。
然后，用附件里第二个文件，删除以上文件就可以了。

三个文件都提取失败。

sytu_sj1988 - 2009-7-10 23:54:00

楼主，有空时请再扫描一份报告传上来吧，麻烦了！

还有对19楼加一些补充。
如果已经用强删工具删除了
C:\WINDOWS\Downlo~1\8d0b.dll
C:\WINDOWS\system32\drivers\rzyyi.sys
C:\WINDOWS\system32\7dc5.dll
这3个文件。

还要一些修复工作
删除后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
<8d0b><rundll32 "C:\WINDOWS\Downlo~1\8d0b.dll",Run>

控制面版——任务计划里找到如下项删除：
[Enabled] 8d0b.job
rundll32
[Enabled] 8d0ac.job
rundll32

C:\WINDOWS\system32\drivers\rzyyi.sys这个驱动不敢动，Boot Start的。。看版主和高手们的意见吧。

建议再扫描一份报告传上来

一千年以前 - 2009-7-11 0:32:00

我用江民在线把那些毒给杀了。21楼，不好意思，我实在是不会扫描报告。我在20楼不是说了吗？

一千年以前 - 2009-7-11 0:33:00

我杀了毒以后再扫描报告吧。

aaccbbdd - 2009-7-11 0:33:00

清理助手下载
安装后，升级清理助手，完整扫描
清理系统

一千年以前 - 2009-7-11 1:22:00

引用:

原帖由 aaccbbdd 于 2009-7-11 0:33:00 发表
清理助手下载
安装后，升级清理助手，完整扫描
清理系统

还是不行。瑞星+江民都没杀死。还是三个病毒。

附件: SREngLOG.log

aaccbbdd - 2009-7-11 1:32:00

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\4qbd.exe
c:\windows\system32\s.exe
c:\windows\system32\drivers\rzyyi.sys
c:\windows\system32\vtc.dll
c:\windows\system32\7dc5.dll
C:\WINDOWS\tasks\8d0ac.job
C:\WINDOWS\tasks\8d0b.job

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Kefation / Kefation] <C:\WINDOWS\system32\4qbd.exe>
[OSEvent / OSEvent] <C:\WINDOWS\system32\s.exe>

启动项目－－服务－－驱动程序之如下项禁用：
[weki / weki] <\SystemRoot\system32\drivers\rzyyi.sys>

系统修复－－　浏览器加载项之如下项删除：
[BHO Class] <C:\WINDOWS\system32\vtc.dll>
[Invoke Class] <C:\WINDOWS\system32\7dc5.dll>
[Invoke Class] <C:\WINDOWS\system32\7dc5.dll>
[BHO Class] <C:\WINDOWS\system32\vtc.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析：小狮子
时间：2009-7-11
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

一千年以前 - 2009-7-11 1:39:00

引用:

原帖由 aaccbbdd 于 2009-7-11 1:32:00 发表
1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选

我运行XDelBox后，都是乱码。

一千年以前 - 2009-7-11 1:43:00

用了好多方法了，还是不行啊。怎么会这样的？

aaccbbdd - 2009-7-11 1:47:00

无所谓

复制文件路径后

在大白空地方右键
选择从剪贴板导入不检查路径

一千年以前 - 2009-7-11 1:56:00

没有中文，还是不知道什么是什么。

aaccbbdd - 2009-7-11 2:04:00

http://bbs.ikaka.com/showtopic-8442813.aspx
3楼的
费尔木马文件删除工具
或者EasyDelete

记得勾选抑制再生
试试看

瑞星卡卡安全论坛