瑞星卡卡安全论坛
ad209 - 2007-5-23 20:56:00
此病毒可能是某种u盘病毒,但我是在浏览网页时中的。中毒之后,瑞星被删,看不见隐藏文件。无法上网找任何与瑞星有关的网页,无法登陆瑞星网站。无法启用其他辅助杀毒工具。无法进入安全模式!。现在不可能发送日志和样本,目前本人已受到一定损失,急求版主和各位高手帮忙。
baohe - 2007-5-23 21:01:00
【回复“ad209”的帖子】
找到那个“8位数.exe文件”,打包,加密(密码用:123),发到:baohelin@yahoo.com.cn
孤独更可靠 - 2007-5-23 21:07:00
http://forum.ikaka.com/topic.asp?board=28&artid=8309462
参考这个```
杀软不能杀的话``
发到Lyhan_1988@163.com
加密123
```
ad209 - 2007-5-23 21:10:00
十分感谢上面几位帮忙,我现在就去试
baohe - 2007-5-23 22:08:00
【回复“ad209”的帖子】
结束下列进程(图1)
删除下列文件(图2)
删除下列注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分之下的:
fofpscj (指向C:\windows\system32\fngsvmd.exe)
sxrcoku (指向C:\windows\system32\qrysxbt.exe)
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute分之下的:
autocheck(指向c:\windows\system32\autocheck.exe)
图1
附件:
1558472007523215833.jpg
baohe - 2007-5-23 22:08:00
UFO不幸外人 - 2007-5-23 22:19:00
我也需要样本
UFO不幸外人 - 2007-5-23 22:19:00
1987noodle0158@sina.com
ad209 - 2007-5-23 22:24:00
十分感谢,病毒样本已经发出。
另问:1.如何预防此病毒,瑞星根本没起作用
2.本人已有两台电脑中毒,其中一个型号老的机器已经无法进入windows,开机检测后就自动重启,有无恢复办法(至少能让我保存硬盘里的文件)?
天月来了 - 2007-5-23 22:31:00
DOS下删除同样文件。即可。
远飞的心 - 2007-5-23 22:32:00
可以用深山红叶启动盘备份文件。这个盘网络上有。
loveperday - 2007-5-23 22:37:00
样本还有么??给我一个
zhangqi802@163.com
加密123
ad209 - 2007-5-23 22:43:00
谢谢各位,希望能告诉下如何防御此病毒和恢复硬盘的方法(8楼的问题)
另外:用hotmail发加密样本就被查出病毒(yahoo没说有问题),请问微软用了什么查毒/杀毒工具?
天月来了 - 2007-5-23 22:52:00
挂盘搞也可以。
礼貌小孩子 - 2007-5-24 2:47:00
【回复“ad209”的帖子】向LZ要个样本,谢谢。wff33198745@126.com密码设为123
ad209 - 2007-5-24 3:18:00
还是求助,搞了好几个小时,病毒去不掉。而且用冰剑也没有看到baohe斑竹所提示的文件(电脑知识有限,还请详细说明)。可能是bohe斑竹说的病毒的变种。样本我不敢再发了,而且一天内看到论坛里还有其他人也感染了类似病毒,希望瑞星方面能提供有效的支持和服务。谢谢帮忙的各位
礼貌小孩子 - 2007-5-24 3:59:00
【回复“ad209”的帖子】1。将我的电脑--工具--文件夹选项--查看----显示隐藏文件--打勾
--隐藏系统保护文件--去钩
如果还看不到文件
2.运行REGEDIT--HKLM--SOFTWARE--MICROSOFT--WINDOWS--CURRENTVERSION--EXPLORER--ADVANCED--FOLDER--HIDDEN-SHOWALL-CHECKEDVALUE(DWORD类型值)改为1
再做1的步骤(作这些之前一定要杀掉可疑进程,可以利用冰刃的“禁止创建进程”来辅助杀进程,原因就不多讲了)
然后可以使用冰刃去删文件了(安全模式,断网什么的,自己看情况)
诚向LZ求病毒样本(因为有一些类似的,想看看这些变异的都有什么不同之处),谢谢了
ad209 - 2007-5-24 6:35:00
再次求救:进入安全模式后用冰剑也无法清除病毒。删除了:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll后,仍然无法清除各盘目录下的.ini和.exe文件
孤独更可靠 - 2007-5-24 8:02:00
样本收到了``
不过垃圾邮箱太卡了``
- -
估计12点左右写好分析``
天月来了 - 2007-5-24 8:06:00
未能清除进程里插入的东西。
将SRENG工具改名也不能扫日志吗?
如果生成随机名,就一定得看看你系统里的SRENG日志才好哦。
ad209 - 2007-5-24 8:26:00
再次感谢。由于没装sreng,没办法作出日志,但是估计改名可运行。
baohe - 2007-5-24 9:54:00
| 引用: |
【ad209的贴子】再次求救:进入安全模式后用冰剑也无法清除病毒。删除了:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll后,仍然无法清除各盘目录下的.ini和.exe文件
……………… |
昨天同时接到你和“雅朵”的样本。观察时似乎将两个样本搞混淆了。因此回复内容“张冠李戴”了。抱歉哈!
下面是关于你那个样本的回复:
http://forum.ikaka.com/topic.asp?board=28&artid=8314053
newcenturymoon - 2007-5-24 9:58:00
| 引用: |
【baohe的贴子】
昨天同时接到你和“雅朵”的样本。观察时似乎将两个样本搞混淆了。因此回复内容“张冠李戴”了。抱歉哈!
下面是关于你那个样本的回复:
http://forum.ikaka.com/topic.asp?board=28&artid=8314053
……………… |
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
猫叔 这个就是我先前写过的那个病毒咯(一个坏事做绝的病毒)
跟你当初分析的那个不一样的
newcenturymoon - 2007-5-24 10:31:00
楼主 可以先参考http://forum.ikaka.com/topic.asp?board=28&artid=8310293这个里面写的 应该是我说的那个病毒
baohe - 2007-5-24 10:45:00
| 引用: |
【newcenturymoon的贴子】
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
猫叔 这个就是我先前写过的那个病毒咯(一个坏事做绝的病毒)
跟你当初分析的那个不一样的
……………… |
其实这类病毒也不是很难对付。其中一个防护要点是死守住那些关键注册表项(无论用什么工具实现)
关于IFEO劫持的防护,老掉牙的Tiny即可实现(图)
附件:
1558472007524103554.jpg
baohe - 2007-5-24 10:47:00
这类注册表项还有下图所示的那些。一一设置好即可。
如果用Tiny,还不能对付这类病毒,大多是忽略了这些注册表内容的防护设置(Tiny的默认设置需要作些改动才行)。
附件:
1558472007524103720.jpg
newcenturymoon - 2007-5-24 10:49:00
tiny 总是不会用的说
baohe - 2007-5-24 11:05:00
【回复“newcenturymoon”的帖子】
下图就是运行楼主的样本后,Tiny的防护效能监测结果(一个IFEO也没写成)
注:这个病毒运行后,病毒的dll控制explorer,由explorer.exe完成IFEO劫持项的创建。
这个病毒还有一个特点:
强制删除病毒文件后,如果不结束explorer进程并重新运行,OPERA浏览器运行不了。
附件:
1558472007524105628.jpg
独孤豪侠 - 2007-5-24 11:19:00
loveperday - 2007-5-24 11:47:00
Tiny有个部分汉化版,我用的就是。不过设置部分还是E文
1
© 2000 - 2026 Rising Corp. Ltd.
