瑞星卡卡安全论坛
雅朵 - 2007-5-24 15:16:00
昨天在病毒电脑上使用U盘后,发现U盘上有这servet.exe和AutoRun.inf两个文件,现在病毒电脑已经清除完病毒,在病毒电脑上插上U盘可以看见U盘根目录下有servet.exe和AutoRun.inf文件,但U盘插在另外一台电脑上,右击打开U盘,发现这两个文件闪一下就消失了。用刚升级的瑞星(19.24.31)查杀U盘,未报任何毒。
紫光煦亮 - 2007-5-24 15:18:00
自己BAIDU下
长期潜水 - 2007-5-24 15:30:00
病毒采用这种方式,利用一般人双击打开的习惯来间接激活病毒
右键--打开,删掉就可以了
"两个文件闪一下就消失了"要么是杀毒软件处理了,要么是被激活,自己毁尸灭迹了....
baohe - 2007-5-24 15:41:00
| 引用: |
【雅朵的贴子】昨天在病毒电脑上使用U盘后,发现U盘上有这servet.exe和AutoRun.inf两个文件,现在病毒电脑已经清除完病毒,在病毒电脑上插上U盘可以看见U盘根目录下有servet.exe和AutoRun.inf文件,但U盘插在另外一台电脑上,右击打开U盘,发现这两个文件闪一下就消失了。用刚升级的瑞星(19.24.31)查杀U盘,未报任何毒。
……………… |
收到一个邮件附件,里面是这个样本。邮件是你发的?
我看看这个DD
天月来了 - 2007-5-24 15:47:00
这小楼主,呵呵!!!
猫猫刚帮你除了你系统里的毒,就忘了说你的所有移动存储设备里也得删除。
你这就插了,估计你插过的所有系统都未停掉自动播放。
所以怀疑两台插过的系统,都又回头了。
再慢慢搞吧。
嘿嘿。
两个系统有没异常啊?
baohe - 2007-5-24 15:59:00
【回复“雅朵”的帖子】
用IceSword杀毒。
流程:
1、禁止进程创建。
2、结束下列进程:
[PID: 3760][C:\program files\internet explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2876][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
3、删除病毒文件:
C:\windows\system32\servet.exe
各个非系统分区以及U盘根目录下的servet.exe和AutoRun.inf
4、删除病毒服务项:WindowsDown(指向C:\windows\system32\servet.exe)
baohe - 2007-5-24 16:29:00
【回复“雅朵”的帖子】
关于你发来的那个sxrcoku.exe样本的查杀见下面几幅图。
1、结束下列进程
附件:
1558472007524161927.jpg
baohe - 2007-5-24 16:30:00
2、删除下列文件(注意:我的硬盘只有C、D两个分区。如果你的硬盘还有E、F、G、H....分区,这些分区下的autorun.inf和相应的.exe也要删除。)
至于U盘的处理,请先禁止自动播放。再将U盘插入USB口,用WINRAR找到并删除其中的autorun.inf和相应的.exe。
附件:
1558472007524162001.jpg
baohe - 2007-5-24 16:30:00
baohe - 2007-5-24 16:32:00
4、这个注册表项不能删除。但必须通过编辑,去掉其中的autocheck
附件:
1558472007524162155.jpg
雅朵 - 2007-5-24 16:52:00
【回复“长期潜水”的帖子】
问题是病毒文件始终还在啊
雅朵 - 2007-5-24 16:54:00
【回复“baohe”的帖子】
是我刚才发的,谢谢你!按照你说的办法,今天终于把那台病毒电脑给处理好,非常感谢你!否则,我只有全盘格了重装系统。在处理的过程中,还遇到了一些其它的问题,还好,解决了。
xiaoyueIQ - 2007-5-24 16:56:00
| 引用: |
【baohe的贴子】4、这个注册表项不能删除。但必须通过编辑,去掉其中的autocheck
……………… |
猫叔这一步不是很明白
能否具体点
怎么样编写
雅朵 - 2007-5-24 16:59:00
【回复“天月来了”的帖子】
禁止自动播放,这点我还是懂的。我用U盘从来都是右击打开,怕染毒。
baohe - 2007-5-24 17:05:00
| 引用: |
【xiaoyueIQ的贴子】
猫叔这一步不是很明白
能否具体点
怎么样编写
……………… |
那个BootExcute项是不允许删除的(删了就进不了系统了)。病毒往这里塞了私货,只能通过编辑该键键值,去掉病毒塞进来的DD。
xiaoyueIQ - 2007-5-24 17:08:00
哦,明白了。。
多谢猫叔
关于禁止自动播放是在组策略里设置的。
我们要养成插入U盘时按SHIFT键不让它自动运行的好习惯
在问一下BootExcute是系统文件吗?它的位置是在哪?
姑苏残月 - 2007-5-24 17:12:00
这丫头真让人头疼.问题真多啊.
你问的是个注册表肩值,文件位置估计是在SYSTEM32下
xiaoyueIQ - 2007-5-24 17:48:00
| 引用: |
【姑苏残月的贴子】这丫头真让人头疼.问题真多啊.
你问的是个注册表肩值,文件位置估计是在SYSTEM32下
……………… |
不问能学到东西吗?
雅朵 - 2007-5-24 17:58:00
【回复“baohe”的帖子】
BootExecute这个值应该为什么?现在默认值是autocheck autochk *
bsmain
baohe - 2007-5-24 18:00:00
| 引用: |
【雅朵的贴子】【回复“baohe”的帖子】
BootExecute这个值应该为什么?现在默认值是autocheck autochk *
bsmain
……………… |
瑞星2007用户,这个键值是:
autochk * bsmain
雅朵 - 2007-5-24 18:07:00
【回复“baohe”的帖子】
哦,现在还没处理好,今天杀毒杀得我眼冒金花,晚上我再杀。
天月来了 - 2007-5-24 18:18:00
呵呵!!!
那贴说删清了,这贴又冒花了。
雅朵 - 2007-5-24 18:19:00
【回复“天月来了”的帖子】
那帖是硬盘上的毒清了,现在是U盘上的毒。
神秘的黑洞 - 2007-5-24 18:27:00
通过组策略禁用自动播放不一定有用!只是有时有用。
只用鼠标右键打开也可能会有危险!
告诉你一个小技巧:按住键盘上的shift键不放开,再插入u盘,等u盘被系统识别后几秒钟,再放开shift键,然后鼠标右键u盘——格式化,就能让这个u盘清静了
王八看绿豆 - 2007-5-24 18:28:00
我们要养成插入U盘时按SHIFT键不让它自动运行的好习惯
好习惯!
雅朵 - 2007-5-24 22:16:00
【回复“baohe”的帖子】
照你的办法和病毒抗战了一天,现在终于搞惦啦。下午我把U盘格式化后,重新插入U盘,居然还会有那两个病毒文件在!处理过程中还得删除另外几个服务才行。好累哦!
ad209 - 2007-5-24 22:30:00
【回复“雅朵”的帖子】
看样子你根本没清理干净病毒,还把盘都格了?重要数据还在么。
你中的毒和我的类似。我先把重要文件保存在了u盘,然后把电脑硬盘全部格式化,重装的系统,并禁止了所有盘的自动运行,然后再连上u盘,才把u盘的病毒文件删干净了。对于没用过复杂的清理工具的非电脑专业人员,这种做法更省时间。鄙视那些造病毒的社会垃圾
雅朵 - 2007-5-25 5:50:00
【回复“ad209”的帖子】
我是先将U盘上重要资料拷贝到硬盘上后,才格的U盘啊。病毒清除干净后,又将资料拷回U盘的。
我就是不想对硬盘进行全盘格式化,才花了一天时间和病毒对战。我每天面对的不是几台电脑,而是近两百台电脑,所以在电脑中毒时,原则上是尽量找到病毒清除方法,而不是通过重装系统或格盘来解决。
特别感谢baohe版主的帮助!请问一下版主,取到病毒样本后,你是用什么软件来测试病毒,从而找到病毒清理方法的?
天月来了 - 2007-5-25 9:43:00
他那测试病毒的方法,你还是别折腾了,都英文的,还特复杂。
呵呵!!!!
还是建议你将Windows系统自身的所有磁盘的自动播放停了吧。
如果不停,你插U盘时还是难避免的,有时按shift键,会按不准确的。
loveperday - 2007-5-25 9:47:00
做一些简单的防护措施,如设个文件夹等。
可取。可以看UFO不幸外人的教学帖。
楼主,你现在还有病毒样本么?
© 2000 - 2026 Rising Corp. Ltd.