像风又像雾 - 2005-9-12 10:26:00
我8月25日发现的病毒至今瑞星查不出的病毒
(基本情况:系统是windows 2000 sp4,用瑞星网络版未能查出病毒。
出现的问题:不能上因特网(未杀毒前)和县局的局域网。在进程里发现有msusvc.exe mswinsck.exe cmd.exe ftp.exe winmgmt.exe文件,注册表和任务管理器无法使用。用进程杀手中止这几个进程后就能上网,但过一会这些进程又会出现。转到安全模式下,在winnt\system32\下发现了这些文件,将msusvc.exe mswinsck.exe文件删除,然后到注册搜索mswinsck.exe,发现在Filenamedmru等子键下有mmc.exe perhmon.exe sysmsvc.exe eq.exe tt.exe i.exe dc3.exe compq.exe mswinsck.exe msusvc.exe,删除了这些注册项。然后卸掉瑞星,装上卡巴,升级后进行全面扫描,杀掉了mmc.exe perhmon.exe sysmsvc.exe eq.exe tt.exe i.exe dc3.exe compq.exe mswinsck.exe msusvc.exe,这些病毒文件(病毒名是:backdoor.codbat.as trojan.win32.qhost back.door.win32.rbot.gen trojan-downloader-bat.ftp.ab 等)杀完后重启,系统进程里只出现cmd regsvc.exe了,但卡巴常监控到有mswinsck.exe eq.exe tt.exe 病毒。可以上QQ和收发邮件了,但不能上因特网了。
注:在8月我就上报了一个病毒,但只收到瑞星公司的一封乱码信,上个星期我发了求助信以及病毒样本,但至今未收到瑞星公司的回信。(由于我在萧心论坛发了求助贴,有人上报了病毒,可以杀msusve.exe文件和compq.exe文件了)
我是绝对的正版用户(既有单机版,也有网络版和下载版,既有2002版也有2004、2005版。
附3个不能发现的病毒样本
由于压缩文件不有上传,我就上传到我的网络硬盘里了。地址:http://free.ys168.com/?lxj1007-b
新加内容:用卡巴斯基全面扫描后如今虽然可以上网了,但outlookexprees邮箱不能您好发邮件了。
像风又像雾 - 2005-9-12 10:33:00
这是我在萧心论坛发的求助贴。http://bbs.52happy.net/read.php?tid=94353&fpage=1
CAJINCHEN - 2005-9-12 10:40:00
http://www.virustotal.com/flash/virustotal_en.html可扫描样本.
像风又像雾 - 2005-9-12 11:08:00
楼上的网址打不开
像风又像雾 - 2005-9-12 14:08:00
没人帮忙,自己顶上来
独孤豪侠 - 2005-9-12 14:14:00
这个只能等班竹.
baohe - 2005-9-12 15:16:00
【回复“像风又像雾”的帖子】
mswinsck.exe(bot后门)的查杀
1/结束病毒进程mswinsck.exe。
2/删除%system%文件夹中的mswinsck.exe。
3/清理注册表:
依次展开下列分支:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
删除每个分支下的:
"Microsoft Winsock"="mswinsck.exe"
4/杀毒后,去微软打补丁。
_________________
那个IIsas.exe也是个BOT后门。有时间,再看看它怎么杀。
这类后门的查杀都比较简单。关键在于预防(打上所有的补丁/关闭不必要的系统服务/给系统用户设置复杂口令)。
那个Agentsvr是系统文件,不是病毒。
baohe - 2005-9-12 16:14:00
【回复“像风又像雾”的帖子】
IIsas.exe的查杀
1/结束病毒进程IIsas.exe
2/删除%system%下的IIsas.exe
3/清理注册表:
依次展开下列分支:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
删除上述每个分支下的:
"Windows LSASS Service"="IIsas.exe"
独孤豪侠 - 2005-9-12 16:16:00
呵呵,收藏
像风又像雾 - 2005-9-12 17:50:00
晕,我在注册表里全删了也不行啊。
感覺 - 2005-9-12 17:53:00
先结束进程再删除文件及注册表项。
补丁一定要打全!!!
像风又像雾 - 2005-9-12 17:56:00
今天的瑞星也杀不了这两个病毒。还有,今天瑞星公司的系统回信根本就是乱码Wp>45D?M;'#,Dz:C#!
Dz5DSJ<~RQ>-JU58PP;Dz6THpPG5DV'3V!#
NRCGRQ>-OjO87VNv9}Dz5DNJLb:MND<~#,RTOBJGDzIO4+5DND<~5D7VNv﹞#:
1.ND<~C{#:mswinsck.exe
:)2!6>C{#:Backdoor.Rbot.jdy
NRCGZB5D17.44.20f1>VP4&@mv#,GkDz1z5DHpPGHm<~I}<65�.44.20f1>2"GR4r?*<`?XVPPDH+ELI16>!#Hg9{NRCGTZ2bJT9}3LVP7"OVNJLb5D;0#,NRCG;aMF3YR;50f1>:sI}<6!#
NRCGRQ>-FtSC!0SJ<~7~NqVPPD!1O5M3#,GkDzJ9SCSJ<~7~NqVPPD:MNRCGH!5CA*O5#,RT1cTY4NH7HODzJG7qJG5ZR;8vIO1(8CPB2!6>5DSC;'!#Hg9{H7HON^Ns#,NRCG4UUx;zVFSJ<D8xDz�7#,TY4N8PP;Dz5DV'3V#,P;P;#!>_Le2YWw2#:
1!"5GB<HpPGMxU>5DSJ<~7~NqVPPD#:http://up.rising.com.cn/webmail/index.htm
2!"GkQ!Tq!>2!6>IO1(!?Or5<#,0QNRCG;X84Dz5D2!6>7VNv﹞5DSJ<~U}NDAm4f3IR;8vPBND<~#,2"KND<~RT*.zip;r*.rar8qJ4+#,M,J1TOBPEO"JdHk!0Gi?vChJv!1?r7"8xNRCG#,RT1cWwM3<F2"H7HO!##(W"Rb#:DzPhR*0QNRCG;X84Dz5D2!6>7VNv﹞5DSJ<~U}NDAm4f3IR;8vPBND<~#,2"KND<~RT*.zip;r*.rar8qJ4+#)
JU<~HKPUC{#:
SJ<D5XV7#:
SJU~1`Bk#:
A*O55g;0#:
La PQ#:N*1#V$JU55D@4PE#,GkNpV1X841>SJ<~!!!
-------------------------------------------------------------
7~Nq5%N;#:HpPG!$?M;'7~NqVPPD
9$ 3L J&#:CSC012
5g;07~Nq#:#(010#)82678800
7"KMSJ<~#:GkSCIE5Hd/@@Fw7CNJMxV7 http://csc.rising.com.cn
-------------------------------------------------------------
> DzTZ@4PEVPLa5]NJLb#:
;y1>Gi?v#:O5M3JGwindows 2000!!sp4#,SCHpPGMxBg0f!"5%;z0f!"OBTX0fN4D\2i3v2!6>!#
!!!!3vOV5DNJLb#:2;D\IORrLXMx:MOX>V5D>VSrMx#(N4I16>G0#)!#TZL@o7"OVSPmsusvc.exe mswinsck.exe cmd.exe
ftp.exe
winmgmt.exeND<~#,W"2a1m:MHNNq9\@mFwN^7(J9SC#(N4I16>G0#)!#SCLI1JVVPV9Ub<88vL:s>MD\IOMx#,5+9}R;;aUbP)LSV;a3vOV!#W*5�H+D#J
#,TZwinnt\system32\OB7"OVAKUbP)ND<~#,susvc.exe
mswinsck.exeND<~I>3}#,H;:s52aKQKwmswinsck.exe#,7"OVTZFilenamedmru5HWS<|OBSPmmc.exe
perhmon.exe sysmsvc.exe eq.exe tt.exe i.exe dc3.exe compq.exe
mswinsck.exe msusvc.exe#,I>3}AKUbP)W"2aOn!#H;:sP65tHpPG#,W0IO?(0M#,I}<6:sPH+CfI(Ch#,I15tAKmmc.exe
perhmon.exe sysmsvc.exe eq.exe tt.exe i.exe dc3.exe compq.exe
mswinsck.exe msusvc.exe#,UbP)2!6>ND<~#(2!6>C{JG#:backdoor.codbat.as
trojan.win32.qhost back.door.win32.rbot.gen
trojan-downloader-bat.ftp.ab 5H#)I1Mj:sVXFt#,O5M3L@oV;3vOVcmd
regsvc.exeAK#,5+?(0M3#<`?X5mswinsck.exe eq.exe tt.exe 2!6>!#?IRTIOQQ:MJU7"SJ<~AK#,5+2;D\IORrLXMxAK!#
!!!!86>Qy1>
baohe - 2005-9-12 18:30:00
搞定这两个病毒办法是格盘?!
缘木求鱼!!
© 2000 - 2026 Rising Corp. Ltd.