微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » [新病毒]卡巴斯基无法清除\360等木马专杀无提示的新病毒  

作者:
标题: [新病毒]卡巴斯基无法清除\360等木马专杀无提示的新病毒
wujbob0720
新手上路





积分 4
发帖 4
注册 2007-4-1
#1  [新病毒]卡巴斯基无法清除\360等木马专杀无提示的新病毒

替朋友收拾电脑,因之前为其安装卡巴斯基反病毒6.0,卡巴提示发现病毒和木马145个,如rundll2000.exe等之类的,因前边有个东东(不知该如何定义,貌似无威胁)卡巴无法删除导致不能继续清除其余144个,下边的病毒,卡巴之前设置为无法清除则删除文件,朋友为脑盲.
    我操作如下,等提示时点全部处理、恢复(即恢复对系统的更改)、跳过后删掉了其余的144个,就剩这个我们今天要说的,我按照卡巴的提示,即C:\WINDOWS\system32\drivers\00003b96.sys 进入目录并找到这个东西,删除,成功,刷新又出现,windows的启动项都已经清理了。
    察看windows进程,并无与此关联的陌生进程,其余的都已被我结束(安全模式下),怀疑是感染了驱动程序,后察看注册表,全面搜索,共有3个该键值,没有仔细看,全部删除,后再进再搜索,还在。
    继续搜索后展开注册表项,找到以下目录:
    HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/ 有00003b96目录,目录下有:
    Enum
    Modules
    Security
    三个目录,一次展开,键值中都有00003b96.sys东西,路径如上,动手直接删除00003b96目录,注册表停止响应。。。
    结束进程后再次进入,依次展开子目录项,逐个删除所有键值,然后删除子目录,最后删除00003b96目录,删除掉了,刷新后发现还在。
    没有办法,木马专杀工具依次试验过均无效。后打算还原系统,时间仓促,下次还原。
    我印象中好像以前见过这个东西,在baidu等搜索后均无相关的内容,现在有时间发出来大家共同研究,看有没有合适的处理方法,共同学习,谢谢。怀疑为系统驱动而卡巴误报,但究其行为规则应该划入木马\病毒的行列中,但貌似对系统无威胁。若大家有解决方法或需我提供更详细的系统信息等请回帖并发邮件至wujbob0720@126.com,我回头就给取样发给大家,再次感谢。
    朋友本本为IBM R52,系统Windows XP HomeE SP2。其余标准。

※ ※ ※ 本文纯属【wujbob0720】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-1 00:36
查看资料  发送邮件  发短消息   编辑帖子
chenhanmuyu
新手上路





积分 17
发帖 17
注册 2007-3-30
#2  

rundll2000.exe

那个东东 我电脑上也有哦  
但是我乱搞下 那个不运行了,既然不运行了 管他呢
貌似 不是木马什么的啦  反正NOD 咖啡都不报的

※ ※ ※ 本文纯属【chenhanmuyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-1 11:12
查看资料  发送邮件  发短消息   编辑帖子
wujbob0720
新手上路





积分 4
发帖 4
注册 2007-4-1
#3  

看来也就这样了,还以为是个能用的论坛,看来也不过如此,罢了罢了。

※ ※ ※ 本文纯属【wujbob0720】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-2 22:08
查看资料  发送邮件  发短消息   编辑帖子
苹果小柚子
注册用户




积分 154
发帖 152
注册 2007-3-15
#4  

我昨天给同学杀毒时就抓了这个病毒一个样本 。。。

惭愧  我没完全搞定 有个文件我是怎么也不能搞定  安全模式也一样

我以前没见过这样的文件  估计是驱动级的什么

但是以前驱动级的我也杀过啊  就是没见过这样的

看来要面临新议论的挑战了  微点 是中了后装上的 结果有个没删除成功。。。

※ ※ ※ 本文纯属【苹果小柚子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

个人主页:

[URL]http://hi.baidu.com/80age[/URL]
2007-4-2 22:25
查看资料  发送邮件  发短消息   编辑帖子
wujbob0720
新手上路





积分 4
发帖 4
注册 2007-4-1
#5  

嗯,是啊,我也估计是驱动,但是驱动也搞得太恶心了,不知道是那个厂商干的。

※ ※ ※ 本文纯属【wujbob0720】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-2 22:55
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

微点是依据程序行为判断病毒的,程序有了病毒的行为微点就会处理它的。请您把样本及微点安装目录下的mp6目录压缩发到virus@micropoint.com.cn我们具体测试分析下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-4-3 05:15
查看资料  发短消息   编辑帖子
xxxyyy
新手上路





积分 31
发帖 31
注册 2007-2-11
#7  

这种不新了,见过几次了,是做成一个服务的形式,文件删不掉就光盘启动或者在其他系统删,然后把注册表Enum/root和service那里删掉就行,先用右键更改权限就能删了

※ ※ ※ 本文纯属【xxxyyy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-3 12:52
查看资料  发短消息   编辑帖子
wujbob0720
新手上路





积分 4
发帖 4
注册 2007-4-1
#8  

先试验试验先!本本的不好处理。

※ ※ ※ 本文纯属【wujbob0720】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-3 12:57
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号