微点交流论坛

标题: [新病毒]卡巴斯基无法清除\360等木马专杀无提示的新病毒 [打印本页]

作者: wujbob0720 时间: 2007-4-1 00:36 标题: [新病毒]卡巴斯基无法清除\360等木马专杀无提示的新病毒

替朋友收拾电脑,因之前为其安装卡巴斯基反病毒6.0,卡巴提示发现病毒和木马145个,如rundll2000.exe等之类的,因前边有个东东(不知该如何定义,貌似无威胁)卡巴无法删除导致不能继续清除其余144个,下边的病毒,卡巴之前设置为无法清除则删除文件,朋友为脑盲.
我操作如下,等提示时点全部处理、恢复(即恢复对系统的更改)、跳过后删掉了其余的144个，就剩这个我们今天要说的，我按照卡巴的提示，即C:\WINDOWS\system32\drivers\00003b96.sys 进入目录并找到这个东西，删除，成功，刷新又出现，windows的启动项都已经清理了。
察看windows进程，并无与此关联的陌生进程，其余的都已被我结束(安全模式下)，怀疑是感染了驱动程序，后察看注册表，全面搜索，共有3个该键值，没有仔细看，全部删除，后再进再搜索，还在。
继续搜索后展开注册表项，找到以下目录：
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/ 有00003b96目录，目录下有：
Enum
Modules
Security
三个目录，一次展开，键值中都有00003b96.sys东西，路径如上，动手直接删除00003b96目录，注册表停止响应。。。
结束进程后再次进入，依次展开子目录项，逐个删除所有键值，然后删除子目录，最后删除00003b96目录，删除掉了，刷新后发现还在。
没有办法，木马专杀工具依次试验过均无效。后打算还原系统，时间仓促，下次还原。
我印象中好像以前见过这个东西，在baidu等搜索后均无相关的内容，现在有时间发出来大家共同研究，看有没有合适的处理方法，共同学习，谢谢。怀疑为系统驱动而卡巴误报，但究其行为规则应该划入木马\病毒的行列中，但貌似对系统无威胁。若大家有解决方法或需我提供更详细的系统信息等请回帖并发邮件至wujbob0720@126.com,我回头就给取样发给大家，再次感谢。
朋友本本为IBM R52，系统Windows XP HomeE SP2。其余标准。

作者: chenhanmuyu 时间: 2007-4-1 11:12
rundll2000.exe

那个东东　我电脑上也有哦　　
但是我乱搞下　那个不运行了，既然不运行了　管他呢
貌似　不是木马什么的啦　　反正ＮＯＤ　咖啡都不报的

作者: wujbob0720 时间: 2007-4-2 22:08
看来也就这样了，还以为是个能用的论坛，看来也不过如此，罢了罢了。

作者: 苹果小柚子 时间: 2007-4-2 22:25
我昨天给同学杀毒时就抓了这个病毒一个样本。。。

惭愧  我没完全搞定有个文件我是怎么也不能搞定  安全模式也一样

我以前没见过这样的文件  估计是驱动级的什么

但是以前驱动级的我也杀过啊  就是没见过这样的

看来要面临新议论的挑战了  微点是中了后装上的结果有个没删除成功。。。

作者: wujbob0720 时间: 2007-4-2 22:55
嗯，是啊，我也估计是驱动，但是驱动也搞得太恶心了，不知道是那个厂商干的。

作者: Legend 时间: 2007-4-3 05:15
微点是依据程序行为判断病毒的，程序有了病毒的行为微点就会处理它的。请您把样本及微点安装目录下的mp6目录压缩发到virus@micropoint.com.cn我们具体测试分析下

作者: xxxyyy 时间: 2007-4-3 12:52
这种不新了，见过几次了，是做成一个服务的形式，文件删不掉就光盘启动或者在其他系统删，然后把注册表Enum/root和service那里删掉就行，先用右键更改权限就能删了

作者: wujbob0720 时间: 2007-4-3 12:57
先试验试验先！本本的不好处理。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn