瑞星卡卡安全论坛

昨天，帮人处理了一起“随机8位数”.exe病毒中毒案。
这位仁兄的系统是XPSP2，全补丁。Tiny防火墙是我给他装的，卡巴斯基是他自己找的。
这样的系统防护，一般来说，不大容易中毒。
这位仁兄灰头土脸地来找我时，我还说：没大事，可能是些蟊贼而已。
来到他电脑前，看看任务栏——Tiny和卡巴的图标全无！这才感到问题比我想象地严重。估计是中了最近流行的worm.agent或worm.pabug之类的东东。
从我的U盘中找出改过名的IceSword和autorans，拷到其电脑中（以感染我的U盘为代价）。双击运行————没用！
这现场——真是够恶心的！

Tiny到底垃圾不垃圾，这是后话了。先解决眼前的问题吧。

看看WINRAR能用否？
双击WINRAR试试。还行！！
有希望。
一通查找。找到病毒文件，先尝试这些简单的办法——试试可否改其名称。
改是能改。不过，过一会儿，病毒又将文件名改回去了！但速度不是很快。

有机可乘！哈哈！该轮到俺出歪招了！

用WINRAR找到C:\Program Files\Common Files\Microsoft Shared文件夹中的423F27F3.dat，胡乱改一个后缀（改为.zz）。
立即按reset按钮（就是主机上那个被戏称为“肚脐眼”的东东），重启。系统报日期不对。
进入BIOS，改正过来。
重启后，看看这步改名操作成功没？成了（图1）！

图1

附件: 155847200762134100.jpg

别高兴太早啊。走到这步，病毒依然是活的。不过，这么一来，此毒等于被阉割了。下面的主动权基本上是我的了！

运行刚拷过来的改名的IceSword——OK!
禁止进程创建，强制删除423F27F3.zz和423F27F3.dll——OK！（图2）

图2

附件: 155847200762134140.jpg

重启系统，然后，一一删除病毒的其它文件——OK！（图3）。

用autoruns删除病毒添加的启动项和IFEO劫持项。再将原先备份的注册表项（HKLM\...\SREVICES、SAFEBOOT、HKLM...\HIDDEN等等的.reg文件）导入注册表。再次重启。

重启后，这位仁兄的Tiny和卡巴均能正常加载运行了。用升级病毒库后的卡巴再全盘杀一遍。没毒了。

图3

附件: 155847200762142733.jpg

至此，一个重要的问题还没弄清————在这类病毒面前，Tiny真的是垃圾？

右击任务栏中Tiny图标，点击run administration center，一一检查这位仁兄搞的设置。

查到N多不妥之处（不一一细说了）。

最令我不能容忍的是，这位仁兄将Tiny设置中“system privileges”的“系统权限/代码注入等防护”规则改成了这个样子（图4）。实际上，这样的设置等于删除了这条规则，自废武功了！

图4

附件: 155847200762134403.jpg

我认为：Tiny的“系统权限/代码注入等防护”规则比较合适的设置是这样（图5）。就凭这条设置，大多数病毒，即使进入了用户的电脑，也难掀起“大浪”。处理起来，也比较容易。当然，Tiny的设置很灵活，用户可以根据自己系统的实际情况改动。但无论怎么改动，system privileges中的“系统权限/代码注入等防护”规则绝不能采用这位仁兄的设置方式。

结论：Tiny并不垃圾。我这位仁兄倒是有点儿垃圾（乱搞）！

图5

附件: 155847200762134438.jpg

是啊，是啊。

我这原来也上些监控的东西，可发现单位里的都和你说的这个一样。

哈哈！！！！！

就只捣鼓影子给他们用啦。

这个文件改名，本不错，就不知来这求助的，做不做得到。

引用:

【天月来了的贴子】这个文件改名，本不错，就不知来这求助的，做不做得到。 ………………

文件改名————最一般的操作。估计是个人就会。
关键是————要“眼疾手快”。改完后，立即重启系统。不给病毒重新改过之机。动作协调欠佳的，可以考虑“关闭电源”。这应该容易吧？

Tiny设置还不熟,学习中.

不过看到猫叔的操作,学习~~

呵呵！！！

猫猫哦，关键是找那文件，都不会哦。

你说够晕了吧？

刚刚起来又看到猫叔的贴子``

学习了``

那个随机8位数字的另个变种?7位数字的,

好像能挂SSM和Tiny,我好友告诉我的``

不知道是不是真的``

引用:

【孤独更可靠的贴子】刚刚起来又看到猫叔的贴子`` 学习了`` 那个随机8位数字的另个变种?7位数字的, 好像能挂SSM和Tiny,我好友告诉我的`` 不知道是不是真的`` ………………

见到过这样的变种（且不止一个）。
但是，病毒挂掉Tiny的前提是：用户的设置不妥（图4那样的）。
如果按图5的设置，不关闭Tiny的任何模块，这类病毒搞不掉Tiny。因为Tiny是开机加载运行的；病毒是后来才进入系统的。

引用:

【baohe的贴子】 见到过这样的变种（且不止一个）。 但是，病毒挂掉Tiny的前提是：用户的设置不妥（图4那样的）。 如果按图5的设置，不关闭Tiny的任何模块，这类病毒搞不掉Tiny。因为Tiny是开机加载运行的；病毒是后来才进入系统的。 ………………

对呀对呀,( Tiny我是不知道)如果SSM设置禁止Explorer全局挂勾

那么这个8位数字所有变种都无法运行了```

汗一个```

你俩当然没事了

可那些玩电脑的，感觉都被电脑玩。

呵呵！！！！！！！

还有``发下牢骚``

安装Tiny好像和我机子某个软件冲突

老是花屏```

555```

你难道还舍不得重装新系统？？？？？？

引用:

【天月来了的贴子】你难道还舍不得重装新系统？？？？？？ ………………

懒,自己2K的系统都不想换``那破光驱``

看到头就大``

估计你比我那破机好不到哪去

嘿嘿

【回复“孤独更可靠”的帖子】
不愿换系统，甚至不愿换电脑，可能还有一个“感情”问题。
我的IBM旧本本，用了6年了。现在已经落伍了。新买了一个联想酷瑞双核本，那速度是没的说了。但我还是喜欢这个IBM的老本本。
________
http://forum.ikaka.com/topic.asp?board=28&artid=8317597
这个帖子中说的“奇异现象”，同样条件下，用联想的新本本就重复不出来！
不知何故。

恩恩，除了猫叔曾经说过的冰刃强制中止tiny外，估计还鲜有病毒可以把tiny干掉。。。
  PS：猫叔杀毒“歪着”真多，^_^

引用:

【baohe的贴子】【回复“孤独更可靠”的帖子】 可能还有一个“感情”问题。 我的IBM旧本本，用了6年了。现在已经落伍了。新买了一个联想酷瑞双核本，那速度是不用说了。但我还是喜欢这个IBM的老本本。 ________ http://forum.ikaka.com/topic.asp?board=28&artid=8317597 这个帖子中说的“奇异现象”，同样条件下，用联想的新本本就重复不出来！ ………………

一些小病毒,虚拟机不能运行,实机可以``

同理?```

我是是联想旭日。410M的。有一键灰复功能。按理说灰复过后会好的。可是还是不行，现在自己正版的系统不能用。只能用电脑公司的软件。~~~~~！

引用:

【xin01的贴子】我是是联想旭日。410M的。有一键灰复功能。按理说灰复过后会好的。可是还是不行，现在自己正版的系统不能用。只能用电脑公司的软件。~~~~~！ ………………

一键恢复后，系统盘是否无毒了？
这是个基本问题。
请回答。

灰复为出厂设置按理说是没事了..不动它就没事,不过我知到我的本本肯定是硬盘上感染了.要格才有用....

哈哈  处理不当了咯。

有毒也可以处理了。

用个正的多好。

引用:

【xin01的贴子】灰复为出厂设置按理说是没事了..不动它就没事,不过我知到我的本本肯定是硬盘上感染了.要格才有用.... ………………

处理那些“浑然不觉”状态下中的病毒————就像刑警侦破案件一样。
先一步步搞清案情的各个环节。不能有什么“按理说”的说法。与病毒过招，有时就不能按牌理出牌。
如果一键恢复后，系统分区OK，可以升级杀软病毒库，全盘查杀一次。
如果杀软启动仍是问题，至少，也应该用合适的工具打开非系统分区（切记不要直接双击打开），查找有无异常文件。如果有————删！

引用:

【天月来了的贴子】哈哈  处理不当了咯。 ………………

有什么办法不用格也可以用..

学习了！
顶一下！！！

联想那一键恢复的程序要是挂了,也没用了.挨过一次,只好进dos用早先的gho 恢复回来.再把联想的备份弄回来.这年头啥都要多留一手