瑞星卡卡安全论坛

用IceSword强制删除下列文件以及各个分区根目录下的autorun.inf和“8位数.exe文件”

附件: 155847200752493854.jpg

结束explorer.exe进程（此进程不干净）。再调用任务管理器，运行explorer.exe。
然后用autoruns（需改名运行）删除下图所示注册表项以及autoruns见到的所有IFEO劫持项。

附件: 155847200752494203.jpg

注意：此毒还在当前用户临时文件夹释放一个病毒文件dl1.exe。
病毒dll运行受阻后，dl1.exe运行。
强制卸除插入explorer.exe进程的病毒dll模块后，显示隐藏文件，这些病毒文件可通过普通方法一一删除。

注：本次运行，用Tiny阻止了其它分区的文件创建，故图中没有相应的autorun.inf和那个“8位随即数字的.exe”。

附件: 1558472007524113435.jpg

用Tiny观察这个样本，需要按下图做系统权限防护设置。这样，才能看到你要看的东西。
否则，病毒会强迫终止amon.exe进程，你就啥也别看了。
至于“禁止强迫关机”，这条设置是用Tiny观测病毒时必须的。否则，你就晕吧！

附件: 1558472007524114249.jpg

老大

我早上刚测试完``

跟您说的差不多``

这病毒相当精明``

用冰刃试图卸模块的时候,它立马消失```

开机再次插进程``太坏了  >_<

```

偶也写个```

最喜欢看猫叔讲TINY，支持！
我觉的他一点都不老掉牙~嘿

引用:

【孤独更可靠的贴子】老大 我早上刚测试完`` 跟您说的差不多`` 这病毒相当精明`` 用冰刃试图卸模块的时候,它立马消失``` 开机再次插进程``太坏了  >_< ``` 偶也写个``` ………………

那个病毒dll需要强制卸除两次。
当然如果配合应用其它策略（不完全指望IceSword），杀灭过程要简单些。

也破坏了安全模式和"显示隐藏文件"

````

也要修复```

呼``

感谢各位帮忙，看样子是目前最厉害的病毒了，怎么让我碰上了。由于没用过baohe说的那些软件，所以基本上看不太懂，有没有更简单的方法啊，比如专杀一类的东西。还有，怎么防护这类病毒？单格式化ｃ盘能杀毒么（没有重要文件和程序，不怕格，而且省时间）。
问题比较多，谢谢高手们耐心回答。

那就格吧。

最好全格算了。

这是最好的了。

不能全格啊，其他的分区有东西啊。只格ｃ盘行么？

引用:

【ad209的贴子】不能全格啊，其他的分区有东西啊。只格ｃ盘行么？ ………………

不用格盘。
到这里下载IceSword：
http://www.blogcn.com/user17/pjf/blog/44570897.html
可以搞掂那烂DD。

可他实在学不上，在他看来好烦的。

唉...........

根本没必要格

```

猫叔写的挺详细D``

嘿嘿

引用:

【孤独更可靠的贴子】根本没必要格 ``` 猫叔写的挺详细D`` 嘿嘿 ………………

那个病毒dll有些意思！

可以追踪用户的操作而行进程插入。

比如：你用IceSword禁止进程创建，然后结束了explorer.exe。
之后，取消禁止进程创建，调用任务管理器，再次运行explorer.exe。
这时，explorer.exe进程是干净的；但是，病毒dll已经插入的“任务管理器”进程中。
有点儿意思！！

哈哈,我也发现了``

只能一鼓作气全部删除干净``