微点交流论坛

标题: Trojan.win32.agent病毒求助 [打印本页]

作者: dazhongwyz 时间: 2007-9-4 14:02 标题: Trojan.win32.agent病毒求助

同学电脑中毒，杀软装的是KAV，不停的提示病毒并拦截，但就是无法根治。
KAV描述大致如下。
C盘windows\system32 下检测到病毒，OHXRQI04.DLL
C盘windows\drivers下检测到病毒 OHXRQIO4.SYS.
不停的拦截病毒注入到explorer,svchost下。
发现很多正常软件被KAV视为分险软件。
病毒名称类似于Trojan.win32.agent 和Trojan.downloader.win32.
按KAV操作删除重启后还依然不停提示。病毒文件依然在。

首先试着看自己能不能手都解决，做了一下分析与处理。
开机没有看到任何可疑启动项和进程。去安全模式下想手动删掉OHXRQI04.DLL
和QHXRQIO4.SYS 发现删不掉。
搜索注册表，发现在
HKEY_LOCAL_MACHINE/system/controlset001/ennm/root下有LEGACY-OHXRQI04项，无法删除，HKEY_LOCAL_MACHINE/system/controlset001/ennm/servers下有OHXRQI04项目，可以删除，但马上又自动生成。

无奈，就告诉同学，让他把KAV卸载了，装微点，拍着胸脯说，别看它没病毒库和扫描，保证装上杀掉，而且以后用他绝对很安全。
题外话：本人用微点有大半年了，很信赖他。以前为了试哪款杀软更好更方便，世界排名前10的几乎都用过，微点做为新的杀毒理念问世，当然也没放过，但试用后到现在都没更换过其他杀软，看着她从当时较高的误报率到现在的成熟以及更多的人使用，为微点感到欣慰，更为国产杀软而感到骄傲，祝微点成为世界知名杀软。

回正题，卸载KAV并装完微点更新到最新后，按提示重启。过一会微点检测出病毒，Trojan.win32.agent.hbt，和Trojan.downloader.win32.agent.itn
病毒文件当然还是OHXRQI04.DLL和ohxrqi04.sys还有一个是MBGGXRS8.DLL都在C盘windows\system32 下和DRIVERS下。按提示删除，重启后，惊奇的竟然发现微点竟然也是又检测出又提示删，后发现在一次重启后系统提示加载ohxrqi04.dll错误，估计微点这个文件删掉了，但应该是没有清理掉注册表的原因。微点依然检测出和以前一样的病毒，搜索了下，发现SYSTEM32下的OHXRQI04.DLL没有了ohxrqi04.sys和MBGGXRS8.DLL还在。注册表项关于OHXRQI04的项依然还在，无法手工删掉。
下午有课，同学寝室都要睡觉，说晚上在弄，故趁此时间发帖问问技术人员，看能否根据我的描述给出相关解释与建议。

其实我还想到一个办法，就是利用工具强制删除这些文件，晚上在试。

[ Last edited by dazhongwyz on 2007-9-5 at 12:54 ]

作者: aidi 时间: 2007-9-4 14:17
可以到系统自启动信息里面查看是否有ohxrqi04.sys和MBGGXRS8.DLL这2个文件的启动信息，右键选择删除。

作者: Legend 时间: 2007-9-4 14:23
请问楼主微点的版本是什么？（微点主目录--辅助功能--关于）
请楼主将ohxrqi04.sys MBGGXRS8.DLL及微点安装目录下的MP6文件夹（复制到桌面后压缩）发送到 virus@micropoint.com.cn 邮箱，我们有专人分析。发送时复制本帖连接，以便我们跟踪解决您的问题。

感谢楼主提供，请楼主继续关注东方微点。

作者: dazhongwyz 时间: 2007-9-4 14:23
回2楼，我说的很清楚了，开机没有看到任何可疑启动项和进程。
回3楼，晚上在发，先上课去了。

[ Last edited by dazhongwyz on 2007-9-4 at 14:27 ]

作者: aidi 时间: 2007-9-4 14:32
回楼上，不是看系统的msconfig，是微点软件的系统分析-系统自启动信息；

作者: gudan 时间: 2007-9-4 20:25
奇怪中，服务米有被删除，启动信息里面应该会有找不到文件的启动项

[ Last edited by gudan on 2007-9-4 at 20:26 ]

作者: aliu134 时间: 2007-9-4 22:01
ohxrqi04.sys和MBGGXRS8.DLL还在
象这种东西运行照样删除删除后虽然还在内存中(重起OK)
除非它写了...

这病毒ROOT级的见多了
等升级微点等待微点的表现!

不过发现楼主有些地方不合情合理!因为楼主的病毒文件名不一致,好象是楼主一自己打上去的,怎么不复制文件名呢,还有下面怎么又多了个DLL文件啊,好象你知道的,只是奇怪!打这么多字为何没有时间上传呢,这么多字以有足够的时间了,
好奇怪的详细说明!

[ Last edited by aliu134 on 2007-9-4 at 22:59 ]

作者: dazhongwyz 时间: 2007-9-5 13:35
本来想上传，发现在安全模式下也无法复制，更别说压缩上传。我试过PowerRmv，KillBox，安全模式下强制删除，并勾选上抑制再生，提示成功，重启后依然还在。

同学说重装快，无奈，毕竟不是自己的电脑，没办法，只能说遗憾。
-----------------------------------------------------------------------------------------
回7楼，因为是同学的电脑，开始以为自己能解决，但发现解决不了，就打算上网查查，但同学的寝室要午休，为了不打扰他们，就抄下来了几个关键东西回自己电脑查的，所以才会打这么多字。
病毒文件名不一致是我的失误，前面把4打成s了，应该是OHXRQI04.DLL和ohxrqi04.sys。
下面怎么又多了个DLL文件，MBGGXRS8.DLL，那是因为卡巴斯基没检测出来它，微点检测出来了，而且卡巴斯基一直提示拦截，不管重启几此，一个都没删掉，就是不断提示。
卸载掉KAV，装上微点后，提示初始化错误E0000806，过一会拦截病毒，按提示删掉，微点能正常打开，多此重启后，不再有初始化错误的提示。进系统时会提示加载ohxrqi04.dll错误，发现微点把KAV没删掉的ohxrqi04.dll删掉了，但另外2个，重启几次都删不掉。

作者: aliu134 时间: 2007-9-5 14:21
至上非常抱歉!
我喜欢咬文嚼字(应该去当LS)
原来是这样!

可惜我不在你那里
我喜欢解决不了的问题
非常吸引我
象这种内核病毒都比较难,一般FW和保护自己是必要的,具体绝对有个下载功能
木马下载等!

真让我遗憾!哎~
用冰刃试试
作者做的还不错哦!

我自己的做的工具自己用的不能乱传有些话不好说
在我这用完都必须删除
因为自从我的源代码被自己破坏后不在写了!很烦!
哎~
楼主是否可将病毒文件U给我
40740865@qq.com

[ Last edited by aliu134 on 2007-9-5 at 14:34 ]

作者: dazhongwyz 时间: 2007-9-5 23:38
很抱歉，不是自己的电脑，要不然，不想办法解决这个问题，我绝不重装。如果是我自己的电脑的话，就算要把硬盘拆了，挂别人那当从盘才可以把病毒文件复制出来，我也会复制出来传给微点的技术人员和你的，现在同学的机子已经重装，病毒已不在，只能说遗憾。

作者: aliu134 时间: 2007-9-5 23:56
啊那真遗憾!
不过还是谢谢你的回复了!

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn