求助AdWare.Win32.Vundo.lk及RootKit.Win32.Koutodoor.ag bbs.ikaka.com

951951a - 2009-8-28 15:07:00

AdWare.Win32.Vundo.lk 及 RootKit.Win32.Koutodoor.ag这俩个病毒怎么也不能清除，求助高手帮助！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; CIBA; TheWorld)

帅哥阿福 - 2009-8-28 15:10:00

对于病毒来说，最标准的做法为：先升级瑞星到最新版本，而后断网杀毒。
如果第一次查杀发现有病毒，则需要重启动计算机，再杀第二遍。
如果第二遍查杀没有病毒了，则说明原病毒是外界传播进来的，需要对系统修补漏洞，加装防火墙，做好防护。
如果第二遍查杀还是有病毒，则说明该病毒是瑞星当前版本无法清除的，需要扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

951951a - 2009-8-28 15:14:00

谢谢，这两个病毒，用瑞星不能删除，我用你的方法试试,感谢！！！

951951a - 2009-8-28 15:22:00

对不起，俺是菜鸟啊，扫描日志太复杂，俺做不来......

天月来了 - 2009-8-28 16:24:00

详细病毒文件名和路径

如果自己不会看文件名和路径，以及不会扫描日志，可以考虑送修

951951a - 2009-8-28 16:47:00

不知道这样，是不是可以让朋友看的清楚

谢谢......

aaccbbdd - 2009-8-28 17:09:00

使用
http://bbs.ikaka.com/attachment.aspx?attachmentid=510684

删除那俩病毒文件（切记勾选抑制再生）

951951a - 2009-8-28 17:52:00

删除后，重启，再杀毒，还在，抑制再生勾选了呀，唉，郁闷......

天月来了 - 2009-8-28 17:57:00

这病毒，可以试试去安全模式下删除

951951a - 2009-8-28 18:07:00

我从来没有进入过安全模式，怎么进，进去以后呢？

天月来了 - 2009-8-28 18:21:00

如何进安全模式，百度即知

进去后，那删除工具再删除试试呗

我置顶一堆删除工具呢，。自己选择试吧

951951a - 2009-8-28 19:30:00

试用“费尔”删除了，重启后，直接去找，那两个病毒所在的文件没有了，可是，再杀毒，那两个文件又新生出来了......

天月来了 - 2009-8-29 7:19:00

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具 (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

951951a - 2009-8-29 22:01:00

不知道我这个附件是不是正确的，先传上来看看吧

附件: SREngLOG.log

天月来了 - 2009-8-29 22:06:00

用解压工具WinRAR依路径打开，找到这两文件，压缩发来，急需要
C:\WINDOWS\system32\owgi.dll
C:\WINDOWS\system32\drivers\mudnv.sys

天月来了 - 2009-8-29 22:09:00

文件发来后，去安全模式下

在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”

==================================
驱动程序
[hwhdpi / hwhdpi][Running/Boot Start]
<\SystemRoot\system32\drivers\mudnv.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

修改或删除成功后，重启电脑，再进系统看情况怎样

如果文件还出现

就这里下载超级巡警文件暴力删除工具，抑制文件再生删除。
http://bbs.ikaka.com/attachment.aspx?attachmentid=489118

提示删除成功后，立即拔了电源插头，再看情况如何

951951a - 2009-8-29 22:21:00

真不好意思，我不知道怎么压缩那两个文件，那两个病毒好像不让压缩，怎办？

天月来了 - 2009-8-29 22:24:00

这里官网下载冰刃，在“文件”项中找那两文件选择“复制”出来：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

951951a - 2009-8-29 22:40:00

不知道为什么，这个软件一运行，就死机，死了两次了，再不敢用了

天月来了 - 2009-8-29 22:46:00

那没办法了

最后试试吧

下载下面这个PE系统，在你的正常系统内安装，安装后，重启电脑，在启动菜单那选择进PE系统内，看能否用解压工具WinRAR打开路径，找到隐藏的那两文件，压缩备份在D盘，然后再进正常系统，将这两文件发我。

http://d.namipan.com/d/706053f0716f4ddf3ec27d9759fb467c042cf60161284902

至于这两文件，备份后，就可以在PE系统内删除他们了

951951a - 2009-8-29 23:18:00

进入PE系统后，只找到一个病毒，另一个，不知道跑哪去了,怎么也找不到......

附件: owgi.rar

天月来了 - 2009-8-29 23:23:00

那个mudnv.sys文件可能是隐藏的、系统的属性，需要用解压工具WinRAR依路径打开找它呢

就是C:\WINDOWS\system32\drivers\mudnv.sys文件。

我很想要此文件，给朋友测试专用删除此类驱动的工具。

951951a - 2009-8-29 23:34:00

用解压工具怎么去找？它藏起来了，看不到，我又去找了，还是没有

天月来了 - 2009-8-29 23:35:00

用解压工具WinRAR依路径打开文件夹找文件：

951951a - 2009-8-29 23:45:00

终于找到了

附件: mudnv.rar

天月来了 - 2009-8-29 23:48:00

好啦，你在PE系统内删除这两文件吧

然后就可以了

感谢你提供文件

951951a - 2009-8-29 23:50:00

我用SRENG工具修改时，大小为“0”的，都是病毒吗？我应该删除吗？比如这个，是病毒吗

951951a - 2009-8-29 23:55:00

非常感谢你，这么耐心的指导我，真的很感激

天月来了 - 2009-8-29 23:56:00

SRENG那全不是:kaka6:

别好奇折腾那玩意了

那玩意是给懂系统基础知识的人操作玩的。:kaka6:

951951a - 2009-8-30 0:09:00

成功了，谢谢论坛的朋友们，我很感动，好人啊......

还有个问题，怎么归类为“已解决”？

瑞星卡卡安全论坛