电脑中了RootKit.Win32.Agent.nfr

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了电脑中了RootKit.Win32.Agent.nfr相关的知识,希望对你有一定的参考价值。

瑞星查出RootKit.Win32.Agent.nfr,提示重起杀毒,可就是杀不了,超级巡警也没用,我的症状是网页自动关闭,我不想重做系统,高手给个解决方案
病毒所在文件夹是:c:\program file\internet explorer 病毒文件是:protector.sys 有没有针对我这个的办法的?

您好不用担心;
既然杀毒软件能查出来就一定能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。
重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。
另外请最好清理一下你的临时文件夹

建议你安全模式下使用主流杀毒软件的最新版杀毒
参考技术A Rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。

最近最让IT管理员头痛的是什么呢?--毫无疑问是rootkit。这种可恶的程序是一批工具集,黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限,就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码,这样黑客就具有高级访问权限了。

rootkit还有监控网络数据和按键的功能;为黑客在系统上开“后门”;修改日志文件;攻击网络上的其他计算机;修改系统上已有的工具防止被检测出来。 那么如何发现rootkit呢?看看三位Windows安全专家对用户的rootkit问题提供了什么解决方案吧。//本文来自电脑软硬件应用网www.45it.com

用户的问题:我是一家大型非营利机构的IT管理员。由于我们缺乏资金和人手,我们的许多用户需要用管理员访问权限来完成工作。最近,越来越多的用户抱怨他们的管理员应用程序崩溃了。他们的一些管理软件不再工作,例如,一些系统上的抗病毒软件神秘的失效了。有的在试图使用应用程序时蓝屏死机,有的计算机莫名其妙地重启或发送错误信息。用普通的间谍软件和特洛伊木马扫描工具没有发现任何问题。是什么在捣鬼?我们需要重装所有出现问题的计算机吗?

专家教你清除rootkit之诊断:

Kurt Dillard:缺少细节,但是,有一些关键的信息。以前一直很可靠的各种计算机系统频繁出现操作系统崩溃的问题意味着受到感染的计算机中的某些东西被改变了。另一个重要的线索是杀毒软件自动关闭自己。最后一个线索是,标准的安全工具不能发现任何恶意软件表明如果这些计算机中有新的软件,这种软件正在偷偷地运行。这种文件隐藏起来了看不到,但是,仍在运行。如果惟一奇怪的事情是数不清的系统崩溃,我会怀疑操作系统最新使用的补丁、设备驱动程序或者一个安全应用程序有问题。这些症候结合在一起暗示某些恶意的东西在起作用。然而,它也许不是一个rootkit。你必须要做额外的研究以便发现正在发生的是什么。

Lawrence Abrams:当你的计算机开始出现异常情况时,我想到的第一件事情就是你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题,那么,这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序,看看是否存在当前杀毒软件定义中没有的新的恶意软件。某些检测故障的软件程序是:

HijackThis:这是一种通用的主页劫持者检测和清除工具,能够连续不断地更新。

WinPFind:这个工具软件可以扫描硬盘中的普通位置,查找与已知的恶意软件使用的方式相匹配的文件。

Silent Runners:这个软件工具检查Windows是如何启动的并且创建一个文本文件以便进行研究或者作为一个基准储存起来。如果没有检测到任何东西,设法用安全模式运行这个程序和你的杀毒/反间谍软件。很多与蠕虫一起发布的普通的rootkit在安全模式不能够运行。因此,故障排查软件在安全模式下可以看到这些恶意软件。

如果在安全模式下发现新的记录和文件,计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面,如果你在安全模式下运行同一个工具软件之后仍没有发现任何可疑的现象,但是这个恶意软件的行为继续存在,你可以推测你正在应付一个更高级的rootkit。

Kevin Beaver:考虑到安装的应用程序的奇怪行为,你很可能正在对付某种类型的恶意软件,最有可能是rootkit或者以远程接入特洛伊木马。这些恶意软件能够让黑客从外部偷偷进入没有保护措施的计算机。了解这个事情的惟一方法是运行能够扫描或者监视异常行为和rootkit的存在的其它扫描软件。这种工具可以是Sana安全公司的“Primary Response”,或者Finjan软件公司的各种解决方案以及Sysinternals公司的“RootkitRevealer”。

我还建议同时运行至少二种或者三种反间谍软件工具。也许还会有一些工具软件你没有用到。除了Spybot--Search & Destroy等常用的解决方案和Lavasoft Ad-Aware安全软件之外还有一些工具。我很幸运地使用了冠群国际的PestPatrol和微软的AntiSpyware等工具软件。监视老系统活动的另外两个工具是监视和封锁出站通讯的个人防火墙(不是Windows防火墙)以及能够监视可疑的系统进出的网络通信的网络分析器。当然,只有你的系统连接到网络的时候后一种选择才是可用的。

专家教你清除rootkit之立即行动:

Kurt Dillard:首先,将受影响的系统从网络断开是一个好主意。接下来,你需要决定你愿意投入多少时间。你愿意收集可能用来提出犯罪指控的证据吗?收集证据非常耗费时间,而且你必须要认真遵循适当的证据收集程序来做。你要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?这也需要耗费很多时间。或者像我们大多数人一样,你没有那样多的时间,只是想尽快摆脱故障使系统恢复正常?无论你选择什么办法,我都希望你在事件发生之间制定一个具体的事件反应计划。如果你没有这个计划,你要确定写出一个适合你的机构的业务需求的书面计划。

收集能够用于法庭上的信息系统的证据需要严格的程序,把发生的一切事情都存档保存并且保护原始的数据。我建议,你应该在事件发生之前与你们机构的法律代表和一些业内专家合作制定一个计划。你要使用逐个字节拷贝的工具等软件(也就是Guidance软件公司的EnCase、AccessData公司的FTK Imager或者X-Ways软件技术公司的WinHex等工具软件),在安全的地方存储受到影响的系统,对这些工具软件创建的数据做适于法庭使用的整理工作。

找出发生问题的细节可能需要很多时间。但是,这项工作是令人着迷和有教育意义的。有一些rootkit检测工具:

·RootkitRevealer(成名的和令人尊敬的安全专家Mark Russinovich和Bryce Cogswell制作的)

·Blacklight(知名安全软件厂商F-Secure公司制作的)

·Klister(卑鄙的内核模式rootkitFU的作者制作的--你自己需要决定是否让你的网络信赖这个程序员
参考技术B 没见过RootKit.Win32.Agent.nfr
找到一个rootkit.win32.agent.gs 的杀毒方法,不知道是否适合你,试试吧:
rootkit.win32.agent.gs 就是 Rootkit.CallGate.b 的变种..

病毒好象改进了点..无法在虚拟机下运行..实机运行正常..

删除方法:

下载 Icesword(http://www.pcav.cn/Soft/hkxg/200610/193.html)

重启 到安全模式,打开 Icesword 点注册表S+P,删除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RGWatchIcesword 点 文件夹 删除 C:\WINDOWS\system32\drivers\RGWatch.sys

重启正常模式应该不会在报了

只是把 C:\WINDOWS\system32\drivers\Rinld.sys 改为 C:\WINDOWS\system32\drivers\modol.sys

简单的处理方法.
⒈把 C:\WINDOWS\system32\Ravdm.exe 改为 C:\WINDOWS\system32\Ravdm.txt
⒉把 C:\WINDOWS\system32\drivers\modol.sys 改为 C:\WINDOWS\system32\drivers\modol.txt
⒊把 Tencent\QQ\TIMPlateform.exe(具体路径依照各位QQ路径) 改为 Tencent\QQ\TIMPlateform.txt
然后重启..删除
C:\Program Files\Tencent\QQ\TIMPlateform.txt
C:\WINDOWS\system32\drivers\modol.txt
C:\WINDOWS\system32\Ravdm.txt

接着用SREng 清理下注册表.. (http://www.pcav.cn/Soft/sdrj/ogher/200608/307.html)

打开注册表..删除
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

参考资料:http://bbs.zol.com.cn/index20070809/index_282_9596.html

参考技术C 首先应该升级瑞星的病毒库,然后在到安全模式下杀 参考技术D 我的建议:做以下尝试
1、瑞星可以查处的话,进入安全模式就可清除病毒了,杀完毒以后,还要清除ie缓存里面东西。
2、下载个AV专杀的工具,这个病毒一般和AV联系在一起的。
3、嘿嘿,尝试下1楼的方法咯!
第5个回答  2007-09-26 你是用杀毒软件扫描出来的吧!但是每次杀的时候说重启后删除.重启又不行吧!
那你按照这个方法来试试吧:
1:先用杀毒软件把病毒扫描出来,别进行处理
2:拿出任务管理器,找到Explorer.exe进程项,结束它(注意事项:不要把杀毒软件最小化),这时会出现异常现象,不要怕,进行第三步
3:用杀毒软件把病毒杀掉.这时应该能删了吧
4:点击任务管理器的文件/新建任务,输入explorer.exe点确定,电脑恢复正常.
现在应该把病毒全都搞定了吧,而且不用重启.如果这个方法不行你就用这个方法吧:
这个病毒在目前的杀毒软件是杀不了的,因为它一开机就启动拉(安全模式也一样)。虽然你在进程里看不到可疑进程,但它好像是在别的进程里运行。只能在dos里面杀毒。
杀毒方法如下:
1、用杀毒软件杀一下(肯定杀不了),不用急。先把其病毒文件的名称和路径用笔记下来。
2、重启。进入dos。(进入dos方法一:1、进入blos设置光驱启动。2、插入系统碟,进入dos,不是进入安装界面.
方法二:在网上下载一个vfoppy之类的虚拟软驱,安装后,重启,进入dos)
3、输入del 【盘符】【路径】【文件名】。例如:我中的毒是eqjtoh(发现这个病毒都是在C:\windows\system32\drivers\下有一个sys文件和在C:\windows\system32\下有一个dll文件),那你就输入del C:\windows\system32\eqjtoh.dll然后按回车(这是删除system32下的eqjtoh文件),再输入del C:\windows\system32\drivers\eqjtoh.sys按回车.如果还有其它毒的话就如此类推。跟着是按ctrl+alt+del进行重启,用光驱启动的当然要设置回硬盘启动拉。
注意:在del和盘符之间有空格
4、重启系统之后它会显示加载eqjtoh(你的病毒文件名)出错,不用怕也不用急。点击开始-运行 输入regedit回车进入注册表,点击编辑-查找输入eqjtoh(病毒文件名),选中项、值、数据,去掉全字匹配,搜索。把搜索到的东西都删除掉,删不了的就在左边的项右击-选中权限,在完全控制里选中允许,不放心的话就先备份。
OK
其实还有一种更简单直接的方法是格式化系统盘,重装系统

电脑中了javqhc木马病毒,该如何清除?

症状描述如下:
杀毒软件我发运行,360安全卫士,瑞星卡卡也无法运行。
经常把网址引导的baidu
尝试了一下方式杀毒都失败了:

用killer-javqhc专杀工具 可以运行但是查不到病毒
用安全模式无法启动系统

请高手赐教,请根据我的情况说一些针对性的措施,不需要复制粘贴。

转载自http://bbs.360safe.com/viewthread.php?tid=404470

中毒了真麻烦昨天本人在网上下了个百度爆吧机说玩玩里面夹带了javqhc木马但是他和以前的不一样.因为他让你什么杀毒软件优化软件全部不能运行不能进安全模式不能在网页中输入javqch关键字,隐藏病毒所以文件夹不能显示等所以称他为javqhc变异木马.

首先网上有很多解办法.在百度知道里面也有很多但是我感觉如果碰上像我昨天这样的你就无法解决了.不能用任务杀毒软件和专杀只能手动.javqhc木马现在他的变异首先破坏你的安全模式也不让你你只要进他直接在让你重启
而且你打网页输入病毒名,输入杀毒软件名和一些常用网址他直接把你的IE关掉.你用系统还原也没用.因为他在你的电脑除了C盘其它盘也是中毒的.打开盘符时有点像先关闭我的电脑然后在打盘符
还有他把文件全部隐藏而且让你不能显示.他在注册表里修改过.
你启动项中无法禁止他自动启动,把系统时间也改成2001年时间你在进入windows系统后是不能修改时间的
专杀的你就别去下载了.下载也不能运行..只要你在安装的时候他就把关闭除了像卡巴这种关闭会提醒的其它都只能放弃.但是你卡巴装好后在运行他又把你关闭..
且在进程中会出现::eupxxo.exe和tdfxxo.exe这两个进程名..你无法禁止一禁止就运行病毒文件把你的任务管理器也一起关掉然后你打任务管理器他在出现..你想找到这个运行进程的文件的话那你放弃把他全部和关键文件连接让你无法删除.
解决办法:首先重启进入BIOS把系统时间修改回来.然后重启电脑打开dos然后,利用unlock删除文件软件,用这个软件把查找到病毒进程的文件名. (例如:进程360Tray.exe的文件路径就在e:\360safe\safemon\360Tray.exe如果你直接去删除文件他会拒绝访问因为进程正在使用所以你要先把进程终止掉可以用unlock这个软件查看这个软件有1M多的大小)
因为你在窗口模式的他文件隐藏了无法显示像我中毒了他把我C:\Program Files\Common Files下的两个文件夹隐藏了然后在我这个文件中放了一个病毒文件.打开注册表下的HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下的启动项删除
所以你先用unlock找到文件所在的地方在dos下找到其目录在用dir查找命令后面加个/a这个参数就是dir /a这个命令然后病毒文件就会显示出来了.然后你在用unlock把进程终止掉用del 相对文件路径/绝对路径 /s /a /q 这个命令把文件删除.还有你每个盘下面也有病毒我编了个删除文件的希望对你们有用
@echo off
echo 你好欢迎使用清理javqhc木马文件
del e:\migqjec.exe /s /a /q
del c:\migqjec.exe /s /a /q
del d:\migqjec.exe /s /a /q
del c:\autorun.inf /s /a /q
del c:\windows\fonts\ardaase.fon /s /a /q
del c:\program files\meex.exe /s /a /q
del c:\program files\common files\system\euuoxpc.exe /s /a /q
del c:\program files\common files\microsoft shared\tdfrxxo.exe /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\logs\edb.txt /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\datastore.edb /s /a /q
del C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll /s /a /q
pause rem 按键继续
echo
复制保存为文件名.bat
删除这些已经后你就可以运行杀毒软件运行了,这主要还是我们没有把系统漏洞补上所以你杀完毒补丁在打上就行了还有javqhc木马会产生不下于10木马.我在手动清理之后出现了这些木马用360安全卫士杀出的

奇虎360安全卫士木马查杀历史报告

木马名称:盗号木马
路径:C:\WINDOWS\Fonts\hookhelp.dll
查杀时间 :2007-12-23 09:50
木马名称:rsmyasp木马程序
路径:C:\WINDOWS\Fonts\gemoand.fon
查杀时间 :2007-12-23 02:04
木马名称:rat盗号木马
路径:C:\WINDOWS\Fonts\chtiaur.fon
查杀时间 :2007-12-23 02:04
木马名称:诛仙盗号木马
路径:C:\WINDOWS\Fonts\mszhasd.fon
查杀时间 :2007-12-23 02:04
木马名称:武林外传盗号木马
路径:C:\WINDOWS\Fonts\msguasd.fon
查杀时间 :2007-12-23 02:04
木马名称:atmQQ盗号木马
路径:C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\SYSWFG~2.DLL
查杀时间 :2007-12-23 02:04
木马名称:kvmxbis
路径:C:\WINDOWS\Fonts\armease.fon
查杀时间 :2007-12-23 02:04
木马名称:盗号木马
路径:C:\WINDOWS\system32\rarjepi.dll
查杀时间 :2007-12-23 02:04
木马名称:kaqh盗号木马
路径:C:\WINDOWS\Fonts\enhuafx.fon
查杀时间 :2007-12-23 02:04
木马名称:qhbpri木马
路径:C:\WINDOWS\Fonts\ardaase.fon
查杀时间 :2007-12-23 02:04
木马名称:pkeusvq(Auto)
路径:
查杀时间 :2007-12-23 02:04

最后感想:一个病毒让我用了将近7个小时的时间把他全部搞定,虽然说第一次用手工清理但是让我学到了很多,我在没有杀毒软件和所有删除javqhc木马软件都没有用的情况下用手+unlock删除文件软件彻底把他删除.虽然说我拐了很多弯但是我学到的远比这些.我每次想放弃的时候都有一个信念支撑的我忘下继续杀毒.那就是你是计算机专业的毕业生如果一个病毒就你让重装系统那你就不用干那行了,如果那天你在工作的地方也发生类似的木马你怎么办.所以我坚持下了用自己所学到的知识我自己所了解病毒的原理.终于把他搞定,现在虽然已经将近半夜2点钟了但是我一点都不想睡心中充满了自豪.在我杀毒一次次的失败中让我感到病毒真的是打不死的"蟑螂".但是你只要有耐心和决心在加你自己所学我想只要有毅力坚持下来的话.赢的总是我们.毕竟病毒也是人脑创造出来.如果你没有那个决心的话那你就可以放弃了.以前我也和大家一样如果中毒靠的都是杀毒软件像如果像这次怎么办.杀毒软件虽然很好但是有时候也要学会用手动清理病毒的知识.
本人文笔不好见谅!
参考技术A javqhc木马的手动清除2007-12-25 12:42你启动项中无法禁止他自动启动,把系统时间也改成2001年时间你在进入windows系统后是不能修改时间的
专杀的你就别去下载了.下载也不能运行..只要你在安装的时候他就把关闭除了像卡巴这种关闭会提醒的其它都只能放弃.但是你卡巴装好后在运行他又把你关闭..
且在进程中会出现::eupxxo.exe和tdfxxo.exe这两个进程名..你无法禁止一禁止就运行病毒文件把你的任务管理器也一起关掉然后你打任务管理器他在出现..你想找到这个运行进程的文件的话那你放弃把他全部和关键文件连接让你无法删除.
解决办法:首先重启进入BIOS把系统时间修改回来.然后重启电脑打开dos然后,利用unlocker删除文件软件,用这个软件把查找到病毒进程的文件名.(例如:进程360Tray.exe的文件路径就在e:\360safe\safemon\360Tray.exe如果你直接去删除文件他会拒绝访问因为进程正在使用所以你要先把进程终止掉可以用unlock这个软件查看这个软件有1M多的大小)
因为你在窗口模式的他文件隐藏了无法显示像我中毒了他把我C:\Program Files\Common Files下的两个文件夹隐藏了然后在我这个文件中放了一个病毒文件.打开注册表下的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的启动项删除
所以你先用unlock找到文件所在的地方在dos下找到其目录在用dir查找命令后面加个/a这个参数就是dir /a这个命令然后病毒文件就会显示出来了.然后你在用unlock把进程终止掉用del 相对文件路径/绝对路径 /s /a /q 这个命令把文件删除.还有你每个盘下面也有病毒我编了个删除文件的希望对你们有用
@echo off
echo 你好欢迎使用清理javqhc木马文件
del e:\migqjec.exe /s /a /q
del c:\migqjec.exe /s /a /q
del d:\migqjec.exe /s /a /q
del c:\autorun.inf /s /a /q
del c:\windows\fonts\ardaase.fon /s /a /q
del c:\program files\meex.exe /s /a /q
del c:\program files\common files\system\euuoxpc.exe /s /a /q
del c:\program files\common files\microsoft shared\tdfrxxo.exe /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\logs\edb.txt /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\datastore.edb /s /a /q
del C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll /s /a /q
pause rem 按键继续
echo
复制保存为文件名.bat
删除这些已经后你就可以运行杀毒软件运行了,这主要还是我们没有把系统漏洞补上所以你杀完毒补丁在打上就行了还有javqhc木马会产生不下于10木马.我在手动清理之后出现了这些木马用360安全卫士杀出的

奇虎360安全卫士木马查杀历史报告

木马名称:盗号木马
路径:C:\WINDOWS\Fonts\hookhelp.dll
查杀时间 :2007-12-23 09:50
木马名称:rsmyasp木马程序
路径:C:\WINDOWS\Fonts\gemoand.fon
查杀时间 :2007-12-23 02:04
木马名称:rat盗号木马
路径:C:\WINDOWS\Fonts\chtiaur.fon
查杀时间 :2007-12-23 02:04
木马名称:诛仙盗号木马
路径:C:\WINDOWS\Fonts\mszhasd.fon
查杀时间 :2007-12-23 02:04
木马名称:武林外传盗号木马
路径:C:\WINDOWS\Fonts\msguasd.fon
查杀时间 :2007-12-23 02:04
木马名称:atmQQ盗号木马
路径:C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\SYSWFG~2.DLL
查杀时间 :2007-12-23 02:04
木马名称:kvmxbis
路径:C:\WINDOWS\Fonts\armease.fon
查杀时间 :2007-12-23 02:04
木马名称:盗号木马
路径:C:\WINDOWS\system32\rarjepi.dll
查杀时间 :2007-12-23 02:04
木马名称:kaqh盗号木马
路径:C:\WINDOWS\Fonts\enhuafx.fon
查杀时间 :2007-12-23 02:04
木马名称:qhbpri木马
路径:C:\WINDOWS\Fonts\ardaase.fon
查杀时间 :2007-12-23 02:04
木马名称:pkeusvq(Auto)
路径:
查杀时间 :2007-12-23 02:04
参考技术B 症状:

就是中马了被,倒没有什么明显的症状,只不过就是别人随便蹂躏你的电脑被,然后把你的小装备小钱钱什么的一点不留被。没有明显的线程多少,基本上表面上看不到任何症状。

厉害之处:

ghost,重装c盘后完了又会复发,别的盘也有触发文件。除非你全格,这个我没试过,呵呵。在正常情况下用关于病毒啦,或者兔子啦,优化大师啦,360安全啦点击可执行文件后可执行文件消失,上网上查关于这个病毒的手动或者专杀的话会把你引到一个“baidu”网站,是伪造的,假的。就象那个什么av病毒一样,进安全模式会重起(不过我的电脑没出现,如果你出现了类似情况可以先ghost,然后直接进安全模式,这个病毒做的不绝的是还不删除你机器里的gho文件,这个就好很多了)。普通的软件很难看到随电脑启动的病毒,包括冰刃等很多,兔子和360那些就更不行了,更何况还启动不了。

解决必备软件:

killer_javqhc.exe

专杀工具,在普通模式下他可能不工作说什么也没查到,只有在安全模式下会查只能删除文件但是不能阻止病毒的再生

System Repair Engineer 2.5

这个是个好专业的修复软件,我看到过最专业最好用的,当然,在有病毒的情况下他也不能启动。

过程方法:

1.到安全模式,先运行专杀,把扫描下的文件记下路径、名字

2.进入System Repair Engineer 2.5软件界面,在开机启动的地方会看到很多很多东西,一个一个删吧,没办法的,出来混总是要还的,里面有一些是有用的,其实全都可以删,看个人爱好了,我就全删,看到如果有新的就再删。

3.如果就这么简单就好了。这个时候会发现有个一直删不去,一个在c:\winnt\system32\or.dll的文件,这个就是这个病毒的总指挥所了。不知道为什么,就是在安全模式下他也是删不去的。

4.重起进入纯dos环境,到c:winnt\system32目录下输入下面的命令(必须到这个目录下哦)

del or.dll

md or.dll

5.最后就是这次杀毒的关键和精髓了,再重起进到安全模式下,把刚才所有查到的病毒在原路径都新建立一个同名文件夹,特别是or.dll,在dos下已经都建好了,分别点右键,在安全选项中全部都改成拒绝。这样,病毒文件就在同目录下建立不成。在这里也能看到几个不知道名字的管理帐户,注意每个帐户都要设成拒绝访问控制什么的。改好后再把启动项在上面的那个软件中再清理几次,就差不多了。

6.其他:由于被篡改了很多host文件,所以要清除,建议用360安全卫士,在系统全面诊断中有很多被改的host 文件都修复了,就差不多了。
参考技术C 1、 楼上查杀方法是对、但javqhc专杀工具版本太老了(当前javqhc专杀工具是1.4版)、

2、 用killer-javqhc专杀工具 可以运行但是查不到病毒、

解决Javqhc木马专杀没用:有时用专杀软件说未找到被感染文件,没关系,重启电脑、再杀、可反复数次(javqhc专杀工具要用最新版)、 如javqhc专杀工具不能在中毒机器里打得开使用、可改成 NIHAO。EXE 或其它要保留EXE后缀、

360安全卫士、 Javqhc专杀工具 V1.4 版、 最后更新:2008-01-09专杀工具
http://360safe.qihoo.com/killer/k-javqhc.html
用中毒的电脑上不了专杀网下载、可找朋友代下专杀工具、本回答被提问者采纳
参考技术D 建议重装系统,因为这类病毒基本都免杀,
即使找到根源彻底清除也难,
打电话给家店公司或者买张盘自己弄都可以的。
具体方法BAIDU也是搜的到的。

还有你说的意思我也没大明白,
你说的症状是不是打网页被自动关闭?
是的话短消息下,也许我能有解决的办法。

以上是关于电脑中了RootKit.Win32.Agent.nfr的主要内容,如果未能解决你的问题,请参考以下文章

中了勒索病毒能恢复吗

救救我呀。电脑中了这样的木马,没见过。帮帮我!

我的电脑中了W32.Pifio这个病毒

电脑中了Newfolder病毒,谁知道怎么解决

我电脑不知中了啥病毒?

电脑中了病毒输入法不能使用怎么办(2)