瑞星卡卡安全论坛

感觉比你那传奇龙的还BT啊http://51ku.net/soft/3580.htm这个网站啊，BAOHE给看看啊，好象里面有DOS+PE+木马啊，我对 DOS病毒不太了解啊，解决不料。
其他朋友千万别下载啊，我只给出了那个下载的网页，没有直接给出FTP怕大家跟我一样中毒解决不料。用瑞星和卡巴都发现不料，没有运行都不能发现的，瑞星墙直接被KILL了，看来只有能力强的版主可以解决了。建议版主赶紧上报一下病毒库。

不见侑.....

主程序壳太强了....暂时脱不下来.....

何只壳强啊,你要是默认C系统盘,D盘肯定有个DOS程序运行指向C盘,无法修改D盘那程序,又找不到从哪里保证他指向的,卡巴只能杀WINLOGON的程序,根本找不到他的指向,我说这病毒厉害吧,希望你不要被KILL跟我一样重做系统,看来只有等明天BAOHE来解决了

你们所说的是至尊传世1.37标准版(含88区)这个外挂有病毒和木马是吗？

【回复“果冻·布丁”的帖子】
http://51ku.net/soft/3580.htm
这个网站去过了。SSM、TPF、卡巴均无报警。系统也没异常。
如果你手头还有这个木马的样本（.exe或.pif均可），请打包，发到我的邮箱：baohelin@yahoo.com.cn。

附件: 155847200611392903.jpg

这个病毒在安全模式下是能够删除的,我刚刚试过了不用重装系统那么严重的!!

其实全部也只是同一个文件改了后缀而已..都是同样的应用程序

不过不知道它还修改了我哪里...全部程序都运行不了....奇怪....

好在我本来已经准备重装

下面是杀这个病毒的bat....

还有问下.除了修改注册表 root 下的 exefile 关联外,还有哪里能够修改exe关联的??

倒,不让上传rar?????

attrib -a -h -r -s %windir%\1.com
attrib -a -h -r -s %windir%\ExERoute.exe
attrib -a -h -r -s %windir%\explorer.com
attrib -a -h -r -s %windir%\finder.com
attrib -a -h -r -s %windir%\WINLOGON.EXE
attrib -a -h -r -s %windir%\debug\DebugProgram.exe
attrib -a -h -r -s %windir%\system32\command.pif
attrib -a -h -r -s %windir%\system32\dxdiag.com
attrib -a -h -r -s %windir%\system32\finder.com
attrib -a -h -r -s %windir%\system32\MSCONFIG.COM
attrib -a -h -r -s %windir%\system32\regedit.com
attrib -a -h -r -s %windir%\system32\rundll32.com
attrib -a -h -r -s "C:\Program Files\Common Files\iexplore.pif"
attrib -a -h -r -s "C:\Program Files\Internet Explorer\iexplore.com"
del d:\pagefile.pif
del %windir%\1.com
del %windir%\ExERoute.exe
del %windir%\explorer.com
del %windir%\finder.com
del %windir%\WINLOGON.EXE
del %windir%\debug\DebugProgram.exe
del %windir%\system32\command.pif
del %windir%\system32\dxdiag.com
del %windir%\system32\finder.com
del %windir%\system32\MSCONFIG.COM
del %windir%\system32\regedit.com
del %windir%\system32\rundll32.com
del "C:\Program Files\Common Files\iexplore.pif"
del "C:\Program Files\Internet Explorer\iexplore.com"
del d:\autorun.inf

echo Windows Registry Editor Version 5.00>123.reg
echo. >>123.reg
echo [HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command]>>123.reg
echo @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1">>123.reg
echo. >>123.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>123.reg
echo "Torjan Program"="">>123.reg
echo. >>123.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]>>123.reg
echo "Torjan Program"="">>123.reg
echo. >>123.reg
echo. >>123.reg

regedit /s 123.reg
del 123.reg

就是至尊传世1.37标准版(含88区)这个外挂有病毒和木马,你要是运行第一个程序,结果就跟thomas2004一样了

不是那个网页有问题,是那个至尊传世1.37标准版(含88区)这个外挂有病毒和木马

我上午在安全模式下删除成功了，也反复重启了好几次机器！均没有在发现！可是现在我开机又有了，这次我可没办法搞定了！！

【回复“社区精英1978”的帖子】

因为还没有完全地清除病毒.

如果清除了..那么exe文件都运行不了....

上网找了好一会还没找到资料..哎.......累....

这次到麻烦了，我现在所有的EXE文件都不能运行了！！汗啊～～～～！！

可以暂时用调试器运行小程序....

我要不然也不点名叫BAOHE大哥帮咱们看看了,这个病毒用目前论坛提供的普通方式解决不料,关键就是D盘那个MS的程序干不掉,又发现不料是哪个指向他的,哦对了,好象格式化以后还是有个灰鸽子,不知道是不是这个存留的,大家要注意喽.
卡巴和瑞星100%不能完全发现,另外只要你允许运行的程序通过瑞星防火墙,防火墙立即被干掉了,所以大家最好不要乱尝试这个病毒,一定要教给版主级的给看看,如果大家要尝试解决,最好作好GHOST或者作好重做系统的准备

这也是我3年来首次因为1个病毒重做系统

thomas2004实在不行就把这个程序上报给瑞星和卡巴把,看最后的结果是什么.我可不干再下那个程序了,麻烦你上报拉.

我已经上报了，可是至今没有回复！！

引用:

【thomas2004的贴子】【回复“社区精英1978”的帖子】 因为还没有完全地清除病毒. 如果清除了..那么exe文件都运行不了.... 上网找了好一会还没找到资料..哎.......累.... ...........................

这个木马及其变种破坏.exe文件关联。
手工杀毒时，切入点是：
使用SREng。
将SREng.exe的后缀改为.scr或.bat。然后运行之，修复.exe等主要文件关联。
否则，你很难往下进行。

它并非修改这个关联

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

这个关联检查过,没问题

问题是找不到病毒的驻留文件！！

【回复“社区精英1978”的帖子】


收到你的ZZCS1.37.exe。以后发邮件附件请用WINRAR打包发，否则，如果这个文件中的“鬼”被邮箱杀软发现，我根本就无法下载你的 附件。

运行 ZZCS1.37.exe后，释放的文件 见图1；注册表改动见图2。无其它文件释放；系统无中毒迹象。

怀疑你是否发错了样本。


附件: 1558472006113154038.jpg

图2

附件: 1558472006113154235.jpg

【回复“thomas2004”的帖子】
%windir%\system32\command.pif
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
以上任何一个文件，打包，发到我的邮箱——都行。

运行了程序了吗,我们一运行在线升级就被KILL了

昨晚不知道为啥,开程序之前.开了regmon,没有过滤信息..

可是一条注册表改动都没有找到...奇怪.....

上面的软件是什么??

引用:

【果冻·布丁的贴子】运行了程序了吗,我们一运行在线升级就被KILL了 ...........................

请说明：
要运行那个程序才能中招。
我从不玩儿网游。

版主我发给你的是病毒的原始文件，这个病毒要运行才会感染的！！你尝试运行一下就会发现机器里有变化发生了！！

20楼图片的后2个程序打开肯定可以中着,我是瑞星防火墙1放行立即就出现防火墙后台服务消失了.另外卡巴就报告WINLOGON是个木马,而且D盘下多出个MS-DOS程序,死活修改不料,也杀不掉了.HIJACKTHIS也发现了WINLOGON但是修复以后还是有

引用:

【社区精英1978的贴子】版主我发给你的是病毒的原始文件，这个病毒要运行才会感染的！！你尝试运行一下就会发现机器里有变化发生了！！ ...........................

你那个自解压包，我已经点击运行了，也见到“安装”界面。一路放行。
最后，只在我的桌面上建了那么一个文件夹（图1。很怪——怎么会在桌面上安装程序，晕！）。图2是安装它以后的注册表改动。

引用:

【果冻·布丁的贴子】20楼图片的后2个程序打开肯定可以中着,我是瑞星防火墙1放行立即就出现防火墙后台服务消失了.另外卡巴就报告WINLOGON是个木马,而且D盘下多出个MS-DOS程序,死活修改不料,也杀不掉了.HIJACKTHIS也发现了WINLOGON但是修复以后还是有 ...........................

ZZCS.exe或“在线升级.exe”？
待我去试试看