卡饭论坛 » 病毒救援区 » Trojan.Win32.Monder.gen

woaihesuannai 发表于 2008-9-4 11:47

Trojan.Win32.Monder.gen

卡巴斯基提示：Windows Explorer：访问文件C:\WINDOWS\system32\urqRKBts.dll/PE_Patch,包含木马程序
Trojan.Win32.Monder.gen
我再网上找了半天也没有找到解决方案，求助坛子高手



谢谢ts2884664和Amazing兄弟的帮助

[[i] 本帖最后由 woaihesuannai 于 2008-9-5 11:55 编辑 [/i]]

Amazing 发表于 2008-9-4 11:56

SREng 2.6.12.1018 版本
[url]http://www.kztechs.com/sreng/download.html[/url]

解压sreng2.zip--运行SREngLdr--智能扫描--（勾选）检查进程模块的数字签名--扫描--保存报告--得到SREngLOG

打开SREngLOG--全选--复制--粘贴--发表帖子
------------------------------------------
卡巴可以杀掉吗？

woaihesuannai 发表于 2008-9-4 13:07

谢谢[color=#000000]Amazing[/color]的提醒，由于报告太多，所以压缩成rar了，请高手指点

ts2884664 发表于 2008-9-4 13:34

貌似不是木马程序 只是联想的一个DLL
C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
DLL为
C:\WINDOWS\system32\urqRKBts.dll
不知道怎么发图片上去

Amazing 发表于 2008-9-4 13:59

c:\windows\system32\urqrkbts.dll
c:\windows\system32\drivers\dac2w2k.sys
发送到[url]http://www.virustotal.com/zh-cn/[/url] 检测下

[b]1.建议使用XDelBox删除以下文件[/b]：([url=http://www.dodudou.com/down/index.php]XDelBox1.7下载[/url])
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从“剪贴板导入不检查路径”，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\xxyvtrpo.dll

[b]2.删除重启后使用SREng修复下面各项：[/b]

    启动项目 －－ 注册表之如下项删除：
[{9160B539-1B91-409A-98BA-985C2349FEEB}]    <C:\WINDOWS\system32\xxyvtrpo.dll>

woaihesuannai 发表于 2008-9-4 14:00

但现在进程里面多了一个lsass。exe占内存很大，而且KIS2009 8.0.0454老是提示让重新启动，重启了还是让立即修复重新起动

woaihesuannai 发表于 2008-9-4 15:39

c:\windows\system32\urqrkbts.dll
检查结果是：0 bytes size received / Se ha recibido un archivo vacio
c:\windows\system32\drivers\dac2w2k.sys
检查结果是：Email-Worm.Win32.Warezov.at

Amazing 发表于 2008-9-4 15:47

把c:\windows\system32\drivers\dac2w2k.sys也删除吧。然后在SREng中，把这个驱动删除。

c:\windows\system32\urqrkbts.dll，这个的检测报告我没看明白.....检测结果是安全的吗？

woaihesuannai 发表于 2008-9-4 21:22

谢谢ts2884664和Amazing兄弟的意见，我按照Amazing兄弟的删除了那个驱动后，卡巴再没有提示，估计是搞定了，再次感谢您的热情帮助

Amazing 发表于 2008-9-4 21:25

不用谢[:17:]

记得把帖子的标签修改下.

查看完整版本: Trojan.Win32.Monder.gen