BYR Achieve · 镜像论坛

☆─────────────────────────────────────☆ mayqueen (五月皇后) 于 (Wed Nov 28 15:05:08 2007) 提到: 不晓得怎么中的这个病毒，感觉好像是前几天卡巴斯基升级后就中了这个病毒。卡巴斯基有发布这个病毒报告，并且还给出了手动杀毒的方法。但是我升级卡巴斯基病毒库到最新的也杀不了，用手动杀毒的方法也不行，周围一些同学也中了，好几天了不知道怎么办。好像没有大的影响，就是有时候笔记本的风扇一直响（平时一般不响的），然后卡巴斯基不停发出警告，如果允许它处理，电脑就重启了，然后病毒还在。卡巴斯基显示的是：已检测到: 木马程序 Trojan-Downloader.Win32.Agent.fdt 文件: C:\WINDOWS\system32\dx6vcl.dll 各位达人有什么见解和办法吗？ ☆─────────────────────────────────────☆ bbye (bbye) 于 (Wed Nov 28 16:01:22 2007) 提到: me too~~~ 愁呢~ 补充，在system32中找不到该文件，已经选中“显示隐藏文件”了。也没办法删除。有好的解决办法，愿意在我电脑上test的站内联系。我彻底没辙了 ☆─────────────────────────────────────☆ rebirthatsix (茫犭者) 于 (Wed Nov 28 17:10:40 2007) 提到: ..... 你们看置顶了没我在置顶的必读帖里专门贴了一个解决dx6vcl的链接。。 ☆─────────────────────────────────────☆ kissblue (断情) 于 (Wed Nov 28 17:52:05 2007) 提到: 【在 bbye 的大作中提到: 】 : me too~~~ 愁呢~ : 补充，在system32中找不到该文件，已经选中“显示隐藏文件”了。也没办法删除。 : 有好的解决办法，愿意在我电脑上test的站内联系。我彻底没辙了笔记本借我今晚看冠军杯可以考虑. ☆─────────────────────────────────────☆ bbye (bbye) 于 (Fri Nov 30 00:44:33 2007) 提到: 发信人: rebirthatsix (茫犭者), 信区: Security 标题: Re: 没人理呢？ RSVP.EXE是病毒吗？发信站: 北邮人论坛 (Sun Nov 18 13:50:10 2007), 站内找到解决方法了这个病毒把原始的rsvp.exe给替换了，这个本身是xp自带的一个正常服务，但是卡巴这个弱没有对其完整性进行监控，而其给与的信任权限还颇高先用icesword把dx6vcl.dll和notepod.exe强制删除掉，然后从正常机器上拷一个rsvp.exe覆盖system32下面的，为了保险就直接去服务里把qos rsvp这个服务给禁止运行就好整个操作过程首先要建立在注意各个磁盘分区下没有autorun.inf的基础之上补充一下：icesword是一个工具，在版面置顶的ftp里面有下载 //是这个吗没下iceword 我现在的问题是找不到那个文件 ☆─────────────────────────────────────☆ bbye (bbye) 于 (Fri Nov 30 00:46:17 2007) 提到: 【在 kissblue 的大作中提到: 】 : 笔记本借我今晚看冠军杯可以考虑. 如果是笔记本就好了 ☆─────────────────────────────────────☆ bbye (bbye) 于 (Fri Nov 30 00:56:59 2007) 提到: //zz 好复杂，我还是看不懂经过这几天的抗战! 与毒魔的挣扎!! 在网络上搜索了很多关于dx6vcl.dll 的资料废话不多说给大家说说怎么解决的吧首先,这显然是个木马Trojan-Download.win32.Aqent.fdtdx6vcl.dll 通过使用进程查看知道它镶嵌在系统启动进程 svchost!!! 注意这是重点为了方便大家查看先下个JULY 搜一下就有下的. 安装后在模块的模块搜索键入 DX6VCL 你就能看见这个木马是潜伏在 SVCHOST 中,之前我也使用过卸掉可是重起还会有,而且根据不同人的电脑,回游不正常的反应,我的机器就是有些程序运行不正常,而且机器不能正常重起,有假死状态. 该木马又是AUTO的变种.所以大家不用着急,我在一家国外网站搜索, 发现它是自动生成的病毒,也就是说安全模式光删DX6VCL和NOTEPOD.EXE 还有那个我至今没找到的屏保文件是没用的. 完成这些文件的删除后,在安全模式下的管里员帐号SYSTEM32文件夹下右键使用AVG 或者 360 查杀(使用电脑好习惯就是别双击尽量右键打开.ABEL也曾经这样给我强调过.)既然是组团病毒,擒贼先擒王么.查杀后看看发现了什么 RSVP.EXE??? 搜索一下看看...... rsvp.exe 进程文件： rsvp 或者 rsvp.exe 进程名称： Microsoft RSVP 描述： rsvp.exe是用于保证客户端与服务端的音频和视频流质量的服务。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。出品者： Microsoft 属于：Microsoft Windows Operating System 系统进程：是后台程序：是使用网络：是硬件相关：否常见错误：未知N/A 内存使用：未知N/A 安全等级 (0-5): 0 间谍软件：否 Adware: 否广告软件：否木马: 否 ????? 别问那么多给删了!! 原因我也不知道是什么. 别点启动后删除,因为启动的时候系统是干净的.受动给他删了包括DX6VCL NOTEPOD 一系列可疑文件. 好了!!!重启!! 祝大家好运!!!!记得多备份!!不要直接使用管理员帐号,另外新建一个个人帐号. ☆─────────────────────────────────────☆ rebirthatsix (茫犭者) 于 (Fri Nov 30 07:49:13 2007) 提到: 【在 bbye 的大作中提到: 】 : 发信人: rebirthatsix (茫犭者), 信区: Security : 标题: Re: 没人理呢？ RSVP.EXE是病毒吗？ : 发信站: 北邮人论坛 (Sun Nov 18 13:50:10 2007), 站内 : ................... .... 就是因为你找不到，所以才让你下icesword，它的文件浏览模块可以看到。。 ☆─────────────────────────────────────☆ icingblue (冰蓝) 于 (Fri Nov 30 11:57:07 2007) 提到: 我昨天刚中过这个毒，用如下方法搞好的，楼主不要用专杀软件，要不会造成系统问题，解决如下：解决dx6vcl.dll的方法最近电脑感染了一个叫------ 的病毒（忘了名字），其中一个主要的文件是dx6vcl.dll，不论在安全模式还是预安装环境下删除，开机后仍然存在，卡巴6只能发现不能删除，用冰刃及july4.03强行卸载后，系统必然崩溃重启。通过网上搜索也没发现彻底的解决办法，经过几天的努力及网上的搜到的点滴心得，现将本人的解决方法提供给大家，希望对大家有所帮助。 1、首先停掉QoS RSVP服务，启动类型改为“手动”或干脆停掉——“已禁用”。（注意：虽然状态栏没有启动，只要是启动类型为“自动”，好像就能感染，什么原因说不清楚。另外该建议是从网上搜来的，谢谢原作者）。 2、修改文本文档的默认打开方式，通过右健中的打开方式可以看到已经存在两个“记事本”打开方式，其实第一个已经指向了notepod.exe（哈哈就一个字母的差别），那就选第二个吧。 3、在安全模式下删掉dx6vcl.dll，notepod.exe，rsvp.exe（该文件已经被替换了大约160kB，原文件事129kB，放心删掉后系统会重新生成原文件的）。 4、（建议）删掉注册表下的hklm-----legacy_seclogon\0000\control下的键值（本人想留着做个纪念，所以没删除，但我发现它的键值与记事本下的键值是一样的，所以建议删除。这也许是启动QoS RSVP服务后又感染的原因吧）。就到这里，祝各位好运！ ☆─────────────────────────────────────☆ wangyaqi (rabbit) 于 (Fri Nov 30 20:29:24 2007) 提到: 用360安全卫士 ☆─────────────────────────────────────☆ bbye (bbye) 于 (Fri Nov 30 21:57:23 2007) 提到: 今天我的操作是： 1、首先停掉QoS RSVP服务，启动类型改为“手动”或干脆停掉——“已禁用”。 2、修改文本文档的默认打开方式，通过右健中的打开方式可以看到已经存在两个“记事本”打开方式，其实第一个已经指向了notepod.exe（哈哈就一个字母的差别），那就选第二个吧。 3、在安全模式下用icesword删掉了dx6vcl.dll，notepod.exe，rsvp.exe，aotorun.inf 4、本来想删掉注册表下的hklm-----legacy_seclogon\0000\control下的键值，但找不到。搜索了notopod，发现和他并列的注册表值：删掉了notepod,rsvp,rsvp.exe，dx6vcl的注册表值。再看吧~~~ 折磨死我了

[合集] 中了木马程序 Trojan-Downloader.Win32.Agent.fdt