怀疑中rookit 毒(附hijackthis)

最近用AVG扫毒,扫毒30多个怀疑是病毒的rookit
而且无法被删除
我想知是误判还是真的中毒?

[ 本帖最后由 09051995 於 2013-9-22 10:36 PM 编辑 ]

AVG.txt (4.12 KB)

2013-9-19 01:06 AM, 下载次数: 9

AVG扫毒结果

hijackthis.log (8.01 KB)

2013-9-19 01:06 AM, 下载次数: 4

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-19 01:06 AM 发表
最近用AVG扫毒,扫毒30多个怀疑是病毒的rookit
而且无法被删除
我想知是误判还是真的中毒?

1. 1直以来软件对rookit检测仍未完善,误报机会都几大。

2. 楼主试埋以下两个扫毒程序:

a. 下载/执行Bitdefender Rootkit Remover扫毒。

b. 关闭所有防毒软件(包括Windows Defender),下载ComboFix至桌面 ,执行 ComboFix 扫毒。
扫瞄时不要执行其他程式或点击 ComboFix视窗。
完成扫瞄后,ComboFix 报告会自动弹出。

3. 下载 OTL.exe於桌面。双按OTL.exe > 按Run Scan > 完成后请将OTL扫瞄报告(OTL.txt)贴上。
(OTL扫瞄需时较长,请耐心等候)

请贴上以下报告:
a. BD Rootkit Remover扫毒报告。
b. ComboFix扫毒报告。
c. OTL.txt扫瞄报告。

作者: SILVESTERABEND 发布时间: 2013-10-13

其实AVG呢d免费防毒未必够效用
始终觉得楼主跟完版主指示清晒毒之后,

用个付费既防毒软件会好D,起码有咩事可以打去问

作者: j32738 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-19 11:03 AM 发表

1. 1直以来软件对rookit检测仍未完善,误报机会都几大。

2. 楼主试埋以下两个扫毒程序:

a. 下载/执行Bitdefender Rootkit Remover扫毒。

b. 关闭所有防毒软件(包括Windows Defender),下载ComboFix至桌 ...

已完成:

BD Rootkit Remover.JPG (21.29 KB)

2013-9-19 05:56 PM

ComboFix.txt (20.78 KB)

2013-9-19 05:56 PM, 下载次数: 5

OTL.Txt (88.9 KB)

2013-9-19 05:56 PM, 下载次数: 6

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-19 05:56 PM 发表

已完成:

BD & ComboFix都冇侦测到rootkit,应该系AVG误报。
不过系统见有恶意程式,建议楼主做以下扫毒:

1. 下载/执行Junkware Removal Tool扫毒。执行扫毒前请关闭所有浏览器同程式。
(JRT会自动删除附於浏览器的恶意程式/档案/登录档)

2. 下载/执行 AdwCleaner (Xplode) 扫毒。(先按Scan扫瞄,后再[Clean] 删除)
(执行AdwCleaner关闭所有浏览器/程式)

3. 下载/执行SUPERAntiSpyware Portable Scanner Personal Edition做complete scan。
(SAS会自动删除感染档案)

请贴上以下报告:
a. JRT扫毒报告。
b. AdwCleaner毒报告。
c. SAS扫毒报告。

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-19 07:34 PM 发表

BD & ComboFix都冇侦测到rootkit,应该系AVG误报。
不过系统见有恶意程式,建议楼主做以下扫毒:

1. 下载/执行Junkware Removal Tool扫毒。执行扫毒前请关闭所有浏览器同程式。
(JRT会自动删除附於浏览器的恶意 ...

已完成
因第一次使用SAS不小心按了quick scan
所以第二次再用了一次complete scan

JRT.txt (5.37 KB)

2013-9-19 09:27 PM, 下载次数: 4

AdwCleaner[S0].txt (3.24 KB)

2013-9-19 09:27 PM, 下载次数: 4

SUPERAntiSpyware Scan Log - 09-19-2013 - 20-33-43.log (23.52 KB)

2013-9-19 09:27 PM, 下载次数: 3

Quick Scan

SUPERAntiSpyware Scan Log - 09-19-2013 - 21-23-48.log (3.54 KB)

2013-9-19 09:27 PM, 下载次数: 4

Complete scan

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-19 09:27 PM 发表

已完成
因第一次使用SAS不小心按了quick scan
所以第二次再用了一次complete scan

楼主试update AVG再做扫瞄,睇重会唔会侦测到spev.sys问题?

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-20 10:41 AM 发表

楼主试update AVG再做扫瞄,睇重会唔会侦测到spev.sys问题?

仍然扫瞄到有rookit毒
但档案不一定是spev.sys
但总会是sp_ _.sys
附上最新一次AVG扫毒报告:

AVG 20-9-2013.txt (4.81 KB)

2013-9-20 06:33 PM, 下载次数: 5

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-20 06:33 PM 发表

仍然扫瞄到有rookit毒
但档案不一定是spev.sys
但总会是sp_ _.sys
附上最新一次AVG扫毒报告:

试upload上述两个档案(spec.sys /spfn.sys) 去AVG再作进1步分析系咪有受感染:
(AVG通知这是由外而内的拦截)
另外去C:\WINDOWS\system32\drivers\.......检查有冇其他sp__sys驱动程式档案,睇埋建立日期,在这日期内有冇安装过新程式......

[ 本帖最后由 SILVESTERABEND 於 2013-9-20 07:05 PM 编辑 ]

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-20 06:59 PM 发表

试upload上述两个档案(spec.sys /spfn.sys) 去AVG再作进1步分析系咪有受感染:
(AVG通知这是由外而内的拦截)
另外去C:\WINDOWS\system32\drivers\.......检查有冇其他sp__sys驱动程式档案,睇埋建立日期,在这 ...

但实际上在相应位置未能找到相关档案= ='''
唯一找到的sptd.sys 建立日期是在2013年1月
但当时扫瞄电脑时未出现有受感染

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-20 07:53 PM 发表

但实际上在相应位置未能找到相关档案= ='''
唯一找到的sptd.sys 建立日期是在2013年1月
但当时扫瞄电脑时未出现有受感染

sptd.sys系alcohol120%/daemon软件的驱动程式,这些SSDT Hook驱动亦经常会被防毒误报(Kaspersky都会误报)为rootkit。
睇黎应该系AVG误报,你先upload上AVG分析。

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-20 09:15 PM 发表

sptd.sys系alcohol120%/daemon软件的驱动程式,这些SSDT Hook驱动亦经常会被防毒误报(Kaspersky都会误报)为rootkit。
睇黎应该系AVG误报,你先upload上AVG分析。

除了sptd.sys之外未能找到其他被AVG报告为有毒的档案
而AVG也没有报告sptd.sys有毒

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-20 10:39 PM 发表

除了sptd.sys之外未能找到其他被AVG报告为有毒的档案
而AVG也没有报告sptd.sys有毒

先upload spec.sys /spfn.sys 俾AVG分析。

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-21 10:23 AM 发表

先upload spec.sys /spfn.sys 俾AVG分析。

我的意思是在档案系统找不到这数个被AVG报告为有毒的档案
所以upload不到

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-21 10:14 PM 发表

我的意思是在档案系统找不到这数个被AVG报告为有毒的档案
所以upload不到

试去AVG virus vault (隔离区)睇下见唔见?

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-21 10:21 PM 发表

试去AVG virus vault (隔离区)睇下见唔见?

已去过,但没有发现相关档案

作者: 09051995 发布时间: 2013-10-13

试TDSSKiller 同McAfee RootRemover扫毒 ( #5帖):

请将扫瞄报告先贴上; 但不要做删除 !

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-22 10:13 AM 发表
试TDSSKiller 同McAfee RootRemover扫毒 ( #5帖):

请将扫瞄报告先贴上; 但不要做删除 !

已完成

TDSS killer.txt (41.14 KB)

2013-9-22 04:44 PM, 下载次数: 1

RootkitRemover20130922164121.txt (291 Bytes)

2013-9-22 04:44 PM, 下载次数: 1

McAfee RootRemover

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-22 04:44 PM 发表

已完成

Kaspersky / McAfee都侦测唔到上述rootkit。
如上文Kaspersky祗是认为sptd.sys有可疑....

如果AVG唔系经常弹上述rootkit通知(祗系扫瞄时出现),暂时可以不理。
如果不断弹通知,就将sp__sys设定为例外。

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-22 07:20 PM 发表

Kaspersky / McAfee都侦测唔到上述rootkit。
如上文Kaspersky祗是认为sptd.sys有可疑....

如果AVG唔系经常弹上述rootkit通知(祗系扫瞄时出现),暂时可以不理。
如果不断弹通知,就将sp__sys设定为例外。

明白了
感谢版主花时间的帮忙

作者: 09051995 发布时间: 2013-10-13

引用:原帖由 09051995 於 2013-9-22 08:33 PM 发表

明白了
感谢版主花时间的帮忙

You're welcome !

如果再有问题要跟进,可以随时发帖讨论。

1. 请跟#8帖移除Hijackthis/ComboFix等等的扫瞄软件。
http://computer.uwants.com/viewthread.php?tid=12999541&extra=page%3D1

2. 请用CCleaner Free删除temp files/登录档,用Windows预载defrag功能,做番1次磁碟重组(defrag)。

3. 请将[求助]主题改为[已解决]。Tks.

作者: SILVESTERABEND 发布时间: 2013-10-13

引用:原帖由 SILVESTERABEND 於 2013-9-22 07:20 PM 发表

Kaspersky / McAfee都侦测唔到上述rootkit。
如上文Kaspersky祗是认为sptd.sys有可疑....

如果AVG唔系经常弹上述rootkit通知(祗系扫瞄时出现),暂时可以不理。
如果不断弹通知,就将sp__sys设定为例外。

其实如果有个病毒名,可以上virustotal.com 睇下有无资料,同埋边只防毒侦测到

作者: j32738 发布时间: 2013-10-13

怀疑中rookit 毒(附hijackthis)

热门阅读

热门下载