瑞星卡卡安全论坛

近期，这种带IFEO劫持的东东很时髦。新变种不断出现，且功力还有某些长进（详见：http://forum.ikaka.com/topic.asp?board=28&artid=8316949）

如果不幸中了，杀软又杀不净，可以这样搞掂它。

至于它下载的那堆病毒，可以根据SRENG（完成这些操作后SRENG已可以运行）日志搞掂。

1。

附件: 1558472007531145318.jpg

2。

附件: 1558472007531145454.jpg

3。

附件: 1558472007531145555.jpg

4。

附件: 1558472007531145623.jpg

5。

附件: 1558472007531145701.jpg

猫猫成天好会玩

老大,我刚才也测试了个``

和您的差不多,瑞星不报``

双进程守护的``

嘿嘿``

劫持了很多个啊``


呵呵``

附件: 8289662007531150339.jpg

汗~~~~~~~~~~~~毒啊，，，的把工具全改名用。。。


学习。。

该用户帖子内容已被屏蔽

引用:

【孤独更可靠的贴子】老大,我刚才也测试了个`` 和您的差不多,瑞星不报`` 双进程守护的`` 嘿嘿`` 劫持了很多个啊`` 呵呵`` ………………

IFEO劫持策略，说到底：想法“不错”（杀软、防火墙一类的启动加载程序都劫持了，还怕谁？）；实际上————不咋地！

该用户帖子内容已被屏蔽

引用:

【baohe的贴子】 IFEO劫持策略，说到底：想法“不错”（杀软、防火墙一类的启动加载程序都劫持了，还怕谁？）；实际上————不咋地！ ………………

大哥，对你们高手来说不咋的，对我们菜鸟来说感觉很恐怖。很不幸现在我也中了这病毒。能把清除的详细流程写出来吗？现在很急啊。只能靠还原精灵来恢复C盘。别的盘现在都不敢打开。一开就OVER。。

学习

版主烦请你花宝贵的五分钟帮小弟看年看

http://forum.ikaka.com/topic.asp?board=28&artid=8317280&page=1

花了两个晚上的时间才搞定它

引用:

【湘m浪子的贴子】学习 版主烦请你花宝贵的五分钟帮小弟看年看 http://forum.ikaka.com/topic.asp?board=28&artid=8317280&page=1 ………………

已经回复你的帖子了

引用:

【三月花儿的贴子】 大哥，对你们高手来说不咋的，对我们菜鸟来说感觉很恐怖。很不幸现在我也中了这病毒。能把清除的详细流程写出来吗？现在很急啊。只能靠还原精灵来恢复C盘。别的盘现在都不敢打开。一开就OVER。。 ………………

用WINRAR等工具打开各个非系统分区根目录，删除autorun.inf和那个“7位随机字母”的.exe。

版主你说:1、禁止进程创建
 
这个怎么弄啊，我不会

猫叔我想知道

、每次你都是用冰刃删的进程
那么病毒的原文件直接删除到回收站里可以彻底的删掉吗？

引用:

【xiaoyueIQ的贴子】猫叔我想知道 、每次你都是用冰刃删的进程 那么病毒的原文件直接删除到回收站里可以彻底的删掉吗？ ………………

1、进程：用IceSword关闭（即：结束程序的运行状态）。
2、删除病毒程序：用IceSword删除——被删除文件不进回收站（直接删除）。所以，用IS删文件要小心。
那些进入回收站的文件————肯定不是用IS删除的。
至于回收站中的病毒文件，已经没有直接威胁（除非你将其还原）。要彻底删除————清空回收站即可。

引用:

【湘m浪子的贴子】版主你说:1、禁止进程创建   这个怎么弄啊，我不会 ………………

http://forum.ikaka.com/topic.asp?board=28&artid=8283980

引用:

【baohe的贴子】 用WINRAR等工具打开各个非系统分区根目录，删除autorun.inf和那个“7位随机字母”的.exe。 ………………

感谢斑竹，问题解决了。
请问一下，这种是一种什么样的病毒，一般通过什么方式传播的？

引用:

【baohe的贴子】 用WINRAR等工具打开各个非系统分区根目录，删除autorun.inf和那个“7位随机字母”的.exe。 ………………

感谢斑竹，问题解决了。
请问一下，这种是一种什么样的病毒，一般通过什么方式传播的？

引用:

【三月花儿的贴子】 感谢斑竹，问题解决了。 请问一下，这种是一种什么样的病毒，一般通过什么方式传播的？ ………………

据我所知，此毒可通过U盘、移动硬盘传播。中招后，还从网络上下载一堆其它病毒。
瑞星昨天的病毒库已经报这个蠕虫worm.agent.ug。这只是这类病毒的一个变种。

引用:

【baohe的贴子】2。 ………………

猫叔啊，你怎么加载你的冰刃启动项的啊，在注册表HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON      这里找不到USERINIT这个项

请问是怎么弄的啊？

引用:

【日不懂啊的贴子】 猫叔啊，你怎么加载你的冰刃启动项的啊，在注册表HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON      这里找不到USERINIT这个项 请问是怎么弄的啊？ ………………

其实，可以用的启动方式多着呢。
用userinit启动只是其中一种（操作简便）。
具体操作：
1、


附件: 1558472007531162842.jpg

2、

附件: 1558472007531162919.jpg

3、

附件: 1558472007531162944.jpg

该用户帖子内容已被屏蔽

学习ing.......

感谢猫猫

引用:

【Jokkkka的贴子】我想问一下,那IceSword需不需要设置什么?禁止进程创建? 要不怎么启动IS,病毒就启动不起来? ………………

这个帖子的关键：强调事先（中毒之前）在系统其它地方布置改名后的IceSword(名字随便取，后缀还用.exe）。
中招后，即使不能直接运行改名的IceSword，也可以这样让IceSword运行起来，用IceSword弄死这个病毒。
至于“禁止进程创建”————我的习惯必选此设置（点击IceSword工具栏上的“文件”、“设置”即可看到）。
道理吗，就是防止具有进程守护的病毒再次开启病毒进程，为下一步结束病毒进程做铺垫。