瑞星卡卡安全论坛

我用你给的样本感染系统（XPSP2＋所有补丁），与你们的中毒表现有所不同：
病毒在C:\WINDOWS\system32\Setup文件夹中创建一个run.tmp文件。可执行文件rundll32.exe在C:\DOCUME~1\当前用户名\LOCALS~1\Temp\Rar$EX00.563\中。
这个病毒比较各色——我用TPF阻止它运行，它就跟我就来这套（见附图），够变态吧！
用IceSword结束病毒进程rundll32.exe，就好了。

查杀步骤：

一、结束病毒进程rundll32.exe；
二、删除下列病毒文件：
C:\WINDOWS\system32\Setup文件夹中的run.tmp
C:\DOCUME~1\当前用户名\LOCALS~1\Temp\Rar$EX00.563\文件夹。
三、清理注册表：
1、展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将："DisableRegistryTools"=dword:00000001改为："DisableRegistryTools"=dword:00000000
2、展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："rundll32"="C:\\DOCUME~1\\当前用户名\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
3、展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将："Shell"="C:\\DOCUME~1\\baohelin\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
改为："Shell"="C:\\WINDOWS\\explorer.exe"。
否则，你删除病毒文件重启系统后，就只能看到一个空空的桌面了。


附件: 1558472005916180100.jpg

今天下了KAV.6.0.14.202.exe，试了下不错

速度及占用较上次的少




附件: 4725972005916180753.jpg

附件: 4725972005916181058.jpg

【回复“有情人终成眷属”的帖子】
我的代理服务器这两天不正常.不能试了.

1、展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将："DisableRegistryTools"=dword:00000001改为："DisableRegistryTools"=dword:00000000
这项,我的机算机里没这个,这项打开只有一个"(默认)  REG_SZ  (数值未设)
3、展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将："Shell"="C:\\DOCUME~1\\baohelin\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
改为："Shell"="C:\\WINDOWS\\explorer.exe"。这个展开也没有!!
至于你第二个里说的,看图吧,只有这个!!
是不是昨天已被我干掉了???你在上面说的两个文件我都有删!!那个文件夹我也删了!

附件: 559820200591792439.JPG

利害啊

学习,,,
收藏~~~~~~~~

病毒样本要不？？

引用:

【有情人终成眷属的贴子】 今天下了KAV.6.0.14.202.exe，试了下不错 速度及占用较上次的少 ...........................

羡慕呀~~~,可惜我的机器差,今天把tiny也删除了,用了个垃圾点的

附件: 4147582005917121736.JPG

我想要学习，不知道有没有机会哦

-------------------------------------------------------------------------------
KASPERSKY ANTI-VIRUS WEB SCANNER REPORT
Thursday, October 13, 2005 20:38:33
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Anti-Virus Web Scanner version: 5.0.63.0
Kaspersky Anti-Virus database last update: 13/10/2005
Kaspersky Anti-Virus database records: 144510
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\aaaa\LOCALS~1\Temp\

Scan Statistics:
Total number of scanned objects: 12596
Number of viruses found: 3
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 1230 sec

Infected Object Name - Virus Name
C:\WINDOWS\system32\aclayer.exe/stream/data0001Infected: Trojan-Downloader.Win32.Agent.rs
C:\WINDOWS\system32\aclayer.exe/streamInfected: Trojan-Downloader.Win32.Agent.rs
C:\WINDOWS\system32\aclayer.exeInfected: Trojan-Downloader.Win32.Agent.rs
C:\WINDOWS\system32\NtSysUpdate.exeInfected: Trojan-Downloader.Win32.Small.bms
C:\WINDOWS\Cerver.exeInfected: Backdoor.Win32.GrayBird.cw

Scan process completed.
请帮我看看用卡巴斯基扫描报告病毒严重吗,用瑞星能杀干净吗?