瑞星卡卡安全论坛

“孤独更可靠”给的样本。据说比较NB。
关闭瑞星和SSM，运行一下看看————还是不能过TINY。再次鄙视一下。
关闭瑞星、SSM以及TINY的所有模块，再次运行样本。重启。
这会行了！
“帕虫”那幅“小人得志”的嘴脸露出来了：
任务栏：光秃秃的；
运行IceSword：窗口立即最小化；/c命令运行IceSword：窗口立即最小化；
运行WINRAR：开始还行；找文件目录时，窗口立即最小化；WINRAR自行退出；
其它的手段，不试了。小人得志了吗！不跟它叫劲。

哦！对了，看看注册表编辑器被禁了没。

开始、运行、cmd，回车、regedit，回车————还行。
嘿嘿！“帕虫”啊！“帕虫”！百密一疏哈！
俺自己加个启动项。
重启。
IceSword启动了。
禁止进程创建；结束explorer.exe进程（图1）。


图1

附件: 155847200769133352.jpg

找到C:\Program Files\Common Files\microsoft shared\msinfo文件夹，将其整个强制删除（图2）。

图2

附件: 155847200769133436.jpg

重启。
用工具修复IFEO。
删除非系统分区的病毒文件（图3）。
将原来的注册表备份导入。

图3

附件: 155847200769133514.jpg

重启。系统恢复正常（图4）。

图4

附件: 155847200769133621.jpg

看看IFEO劫持项的修复结果（图5）————OK!

附件: 155847200769133702.jpg

删除病毒加载项（图6）。最后，从备份中提取msinfo文件夹到原来位置。搞掂。

图6

附件: 155847200769133806.jpg

至于C:\WINDOWS\Help中的这个文件，俺改名养着了。等“帕虫”下次再来。

附件: 155847200769134840.jpg

猫叔,删除C:\Program Files\Common Files\microsoft shared\msinfo后用什么工具修复?

引用:

【地区性的贴子】猫叔,删除C:\Program Files\Common Files\microsoft shared\msinfo后用什么工具修复? ………………

若没有做备份，就别这么删（俺做得绝了点儿）。
我是从备份中提取的。

开机让Icesword启动 他能比病毒启动的早而不被杀掉？

引用:

【newcenturymoon的贴子】开机让Icesword启动 他能比病毒启动的早而不被杀掉？ ………………

事在人为。
鄙视“帕虫”这种下流病毒！

我等它下一个版本（禁用注册表编辑器）。

猫叔,把那个872A00AC发给我看看,谢谢

majiayi2006@163.com

引用:

【地区性的贴子】猫叔,把那个872A00AC发给我看看,谢谢 majiayi2006@163.com ………………

发了

不知道这位病毒作者看过“寄生蟹”没？
脑子灵活一点，对付这种“一根筋”的作品————不难。

呵呵！！！！！

我一直以为，注册表会是第一个被它禁的，哪知竟然还能开！！！！

晕死了。

学习.......

现在AutoRuns版本多少?

猫叔帮我看下，这是啥？

附件: 781403200769155436.jpg

学习了```



哈哈,等待它禁用注册表``

估计还是死得很难看``



昨晚为了鄙视它``全部都手工解决了``

正常的系统注册项。

猫叔,这个在哪里设置不让它报警,不论什么时候运行程序都出这个

附件: 4803152007610120451.jpg

引用:

【孤独更可靠的贴子】学习了``` 哈哈,等待它禁用注册表`` 估计还是死得很难看`` 昨晚为了鄙视它``全部都手工解决了`` ………………

不用工具？？？？？？？

你是大致知道文件位置的，如果不知道文件位置，你纯手工，怎搞的？

弄来看看。

========Content========
还有,Tiny文件保护在哪里?

等那个病毒的作者禁了注册表,恐怕只能用DOS了

然后那个家伙再把文件名改成中文,恐怕.......

这个怎么用?怎么什么都没跟踪到?

附件: 4803152007610131949.jpg

【回复“地区性”的帖子】
汗！
这么多问题！！
Tiny不是“傻瓜式”防火墙。要想用好Tiny————自己动手，慢慢熟悉吧。
提醒：不要瞎搞啊。
已经发给你使用入门了。
好好看看吧。

注册表打不开怎么办？