求助,中ruango病毒

whzl123

今天试一程序,马上中了20多个流氓,连忙断网,清除临时文件夹,用WINDOWS清理助手,清除,以为搞定,重启发现还有,而且更改IE,觉得不简单,于是,下了360.冰刃,兔子,等软件进行综合整理,重启N次后,发现,不但没杀好,而且把我的卡巴关了,所有的安全方面的软件都打不开了,包括,360,冰刃,兔子,巡警,autoruns,还有刚下的sre准备扫个报告上来,也不行了,但别的应用程序,例如看迅雷,暴风都正常,而且去安全模式下,一进入,就蓝屏,在网上查,说是中了RUANGO病毒,方法不在呼这个,1.进DOS手杀,但我这台机子是别人留下来的,C盘是NTFS,用能启动NTFS的DOS进行启动,没找到C盘(今天,这么多事都被碰上),2.用,冰刃,SRE,配合杀,但我现在都用不鸟,怎么办,望高手解决,不要说,重装,想重装,早就做了,还要你来提醒,望高手指点下

whzl123

还有,安全模式下蓝屏代码是,0X0000007B,有谁知道怎么解决

jpzy

正常模式下检查你的系统启动项和服务项，看看有没有什么异常的项目！
关闭病毒的自启动以后，重启，也许可以使得病毒不再运行！病毒不运行就可以随意招呼了！
如果病毒还在运行，那就要想一些非常规的办法了！
比如用NTSD命令关闭病毒进程！总之，就是要关闭了病毒进程，不让病毒运行，那安全软件就可以运行了！！

wangjay1980

把SRE的后缀名改为.COM然后启动扫个报告

听雨醉

我到文献区找来一张蓝屏代码的帖子来比对，竟然没有0X0000007B的代码。。。


看来你也经常鼓捣电脑，这些常用的工具都有。
你可能是在使用这些工具时没有仔细辨别清楚害群之马，只是按软件的默认值搞了。。那肯定不行了，于是综合治理便治理出毛病来了。

你的系统如果以前备份了（开了系统还原），你还原一下试试看。或者开机时“启用最后一次正确的配置”。

系统被杀紊乱了，有点麻烦～

kfpcx

找个PE启动，手杀

cbz107

Ruango?中文名称为：软告，是软告工作室的又一新作！其具体特征有：在开始菜单-->程序-->启动里生成ruango启动项，而且无法删除干净。等一刷先 ，就重新出现。已经MSCONFIG“系统配置实用程序”启动项目里自动生成ruango,（命令为C:\WINDOWS\system32\MSRundll.exe；C:\Program Files\Common Files\ruango\player.dll）。
         经过简单分析后发现，ruango在C:\Program Files\Common Files目录下产生ruango 文件夹和C:\WINDOWS\system32\MSRundll.exe以及c:\windows\system32\drivers\fkwld.sys，c:\windows\system32\dipus.dll，C:\WINDOWS\pss\ruango.lnkCommon Startup在跟上次“软告工作室”病毒一样，ruango也是一驱动型病毒。其主程序也是很难清除。即使将其粉碎，等再刷新，文件又回来了。所以，对付这种恶意软件，在DOS下就可以轻松清除了。

因该病毒只对WIN系统下手，故对DOS无效。所以用以下方法在DOS下手动杀除。
一、在C盘下建立一个BAT文件，写入以下内容。
attrib C:\Program Files\Common Files\ruango\player.dll -r
del C:\Program Files\Common Files\ruango\player.dll
cd C:\Program Files\Common Files\
rd C:\Program Files\Common Files\ruango
attrib c:\windows\system32\dipus.dll -r
del c:\windows\system32\dipus.dll
attrib C:\WINDOWS\system32\MSRundll.exe -r
del C:\WINDOWS\system32\MSRundll.exe
attrib c:\windows\system32\drivers\fkwld.sys -r
del c:\windows\system32\drivers\fkwld.sys
del C:\WINDOWS\pss\ruango*.*

二、在第一步完成后RUANGO的两个主文件都已删除，只要运行msconfig或用其他工具去除启示动项内的RUANGO就可以了。



1，A0AB374.dll   A0AB374.exe（中间那个为数字0）
c:\windows\system32
通过服务加载，在运行--〉msconfig--〉服务中能找到
安全模式下，直接删除文件，在注册表中查找相关相，删除。

2，kkduusfsd.exe
方法同上。

3，db02.exe
C:\windows C:\windows\system32 C:\windows\system32\drivers
Goauld.dll
C:\windows
Goauld.dll加载到exeplorer.exe中，如果直接删除，无效。并且db02.exe每次随

exeplorer.exe启动，之后消失，目的可能是用于生成Goauld.dll
安全模式下，在运行中输入cmd，之后在进程管理器中结束exeplorer.exe，
在cmd命令提示符下删除这些文件，del C:\windows db02.exe。如果这些文件是

隐藏文件，首先需要改变其属性，attrib -s -h -a del C:\windows db02.exe，

之后删除。在注册表中查找相关相，删除。

4，其他记不住了，都是查中病毒当日新生成的文件，可疑文件也统统删之。包括

bkkdud.dll oypow.dll superutilbar.dll NSXDINTY.dll QWDHOTZDJO.all ...