瑞星卡卡安全论坛
天月来了 - 2007-5-26 15:07:00
呵呵!!!!!
都变晕了。
baohe - 2007-5-26 15:25:00
| 引用: |
【孤独更可靠的贴子】好像又更新了```````````````
我测试时候没释放那么多`````
……………… |
病毒的下载内容————常变。昨天玩儿这个DD时,下载了一个插入lsass.exe的DLL木马,比较难杀。当然,最后还是搞掂它了。
这也是中招者发求助帖多的原因之一。
这类病毒————预防为主。
瓶子里没有水 - 2007-5-26 15:25:00
够变态。。。 终止这么多东东。,。下这么多的木马。。看来差不多用户中了只好格盘了。。 还是更新病毒库一般人能够接受一点~~
瓶子里没有水 - 2007-5-26 15:26:00
手杀太麻烦了。。。
newcenturymoon - 2007-5-26 15:26:00
嗯 现在又变了 刚看的 ....刚才他下载的那个update.txt里面写的是524 现在是525
新版小欧 - 2007-5-26 15:29:00
不是吧....作者真是有时间~~~~~
更新速度要和卡巴一样了~~~~郁闷
瓶子里没有水 - 2007-5-26 15:30:00
newcenturymoon 你更新真快啊。不过还是建议把样本丢给瑞星一份。。
newcenturymoon - 2007-5-26 15:36:00
| 引用: |
【瓶子里没有水的贴子】newcenturymoon 你更新真快啊。不过还是建议把样本丢给瑞星一份。。
……………… |
瑞星 能查出来
雅朵 - 2007-5-26 16:39:00
【回复“newcenturymoon”的帖子】
不错,学习中。Xdelbox1.2请写明下载地址啊
loveperday - 2007-5-26 17:48:00
这个病毒有个恶心的地方。把explorer改名成explore,但是我在TINY里没有发现他是怎么实现的,好像一开始注入了个代码,然后就直接加载了。然后通过这个explore.exe来实现一系列操作。
最后是否应该拷贝一个新的回来呢?
附件:
8750952007526173802.jpg
newcenturymoon - 2007-5-26 17:51:00
| 引用: |
【loveperday的贴子】这个病毒有个恶心的地方。把explorer改名成explore,但是我在TINY里没有发现他是怎么实现的,好像一开始注入了个代码,然后就直接加载了。然后通过这个explore.exe来实现一系列操作。
最后是否应该拷贝一个新的回来呢?
……………… |
你的tiny是汉化的么
baohe - 2007-5-26 17:58:00
| 引用: |
【loveperday的贴子】这个病毒有个恶心的地方。把explorer改名成explore,但是我在TINY里没有发现他是怎么实现的,好像一开始注入了个代码,然后就直接加载了。然后通过这个explore.exe来实现一系列操作。
最后是否应该拷贝一个新的回来呢?
……………… |
不大明白你说的意思。
你的图中那个蓝色高亮显示框中的内容是:iexplore.exe(IE浏览器)启动,不是把explorer.exe改名为explore.exe
loveperday - 2007-5-26 17:59:00
部分汉化版~嘿~设置部分还是英文,不过开个金山词霸也简单。
还是我那个问题。
我在公司中过,最后那个explor.exe不在了,我通过局域网从别的机器上拷回来一个,就好了。。
�火影忍者 - 2007-5-26 18:14:00
| 引用: |
【loveperday的贴子】部分汉化版~嘿~设置部分还是英文,不过开个金山词霸也简单。
还是我那个问题。
我在公司中过,最后那个explor.exe不在了,我通过局域网从别的机器上拷回来一个,就好了。。
……………… |
是explorer吧
这个文件删除后会自动生成的...好像不用从其它地方复制过来..
loveperday - 2007-5-26 18:26:00
啊哦~
看来是太敏感了。
谢谢猫叔指正。
学习了。。。
newcenturymoon - 2007-5-26 18:35:00
能把那个tiny发给我么 谢谢哈 悄悄话给你我的qq
�火影忍者 - 2007-5-26 19:46:00
| 引用: |
【雅朵的贴子】【回复“newcenturymoon”的帖子】
不错,学习中。Xdelbox1.2请写明下载地址啊
……………… |
http://www.i170.com/Attach/51FD704F-C0BD-41E7-B0E9-60673A888FD6
newcenturymoon - 2007-5-26 21:41:00
刚刚发现病毒又更新了 现在是525(5.25号的版本)
我分析的是524 版本
File: update.exe
Size: 36435 bytes
MD5: 981A3D735B65F85ADF72EB00CBE7E342
SHA1: F96C27CA5D8380D07C571CB4A5EA95838E1C8B92
CRC32: EB10E247
loveperday - 2007-5-26 21:50:00
汗,一天一般?
newcenturymoon - 2007-5-27 0:39:00
病毒更新了 清除方法已更新
loveperday - 2007-5-27 0:52:00
辛苦了。。
bluebaby3250 - 2007-5-27 3:47:00
看不懂
有没有专杀
zhongzhi - 2007-5-27 9:52:00
比熊猫还厉害,我的妈呀,可要注意了。
newcenturymoon - 2007-5-27 10:35:00
| 引用: |
【bluebaby3250的贴子】看不懂
有没有专杀
……………… |
没有
我是花火 - 2007-5-27 22:36:00
【回复“newcenturymoon”的帖子】
lz我完全按你说的做了
现在杀毒软件可以运转,隐藏文件也可以看见了
但是现在C.D盘能正常打开
E.F盘只能用资源管理器打开
请问这是怎么回事啊??
我很菜,请赐教,谢谢!!
newcenturymoon - 2007-5-27 22:40:00
什么意思 看看存不存在autorun.inf
hzfa - 2007-5-27 23:33:00
我已经按你的完全做了.
清除后,再重装一次系统,起初还好好的
但再过一会又复发了,怎么办好啊?
它会不会感染其它exe或其它文件啊?头疼........
newcenturymoon - 2007-5-27 23:44:00
注意 其他分区下的autorun.inf和8位随机数的exe一定要删 而且必须用winrar删 不能双击打开 也不能右键打开
夏日冰风 - 2007-5-27 23:49:00
这病毒够狠 杀毒就像玩智力游戏
ai00ling - 2007-5-28 9:50:00
【回复“newcenturymoon”的帖子】
3.恢复被映像劫持的软件
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了 所以我们随便把他改个名字
打开这个软件后 找到Image hijack (映像劫持)
autoruns这个软件能安装的上去吗????
© 2000 - 2026 Rising Corp. Ltd.