瑞星卡卡安全论坛
日不懂啊 - 2007-6-13 18:11:00
搞来孤独的样本。运行了,开始的时候RISING的监控直接删了,运行失败。
我关了RISING监控,运行成功。
随即8位病毒所有的现象都出现了,劫持,反病毒网站打不开(我直接断网了),有自动播放。安全模式蓝屏。文件夹选项里显示隐藏打不开。
用猫叔教的在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 里面Userinit设置了改了名字的冰刃。然后重起。期待冰刃开机运行开始搞病毒
结果开机,冰刃运行不了。打开就自己跳啊跳啊。。。删除IEFO没用,病毒自己会建。运行病毒之前把IEFO的权限关了,病毒依然可以劫持。
现在GHOST了,开机以后速度把冰刃打开,禁止进程创建,删掉我释放的D盘的病毒:一个******.exe 一个autorun.inf
现在安全了55555555555
高手来分析分析,我哪里弄的不对?
孤独更可靠 - 2007-6-13 18:17:00
| 引用: |
【日不懂啊的贴子】搞来孤独的样本。运行了,开始的时候RISING的监控直接删了,运行失败。
我关了RISING监控,运行成功。
随即8位病毒所有的现象都出现了,劫持,反病毒网站打不开(我直接断网了),有自动播放。安全模式蓝屏。文件夹选项里显示隐藏打不开。
用猫叔教的在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 里面Userinit设置了改了名字的冰刃。然后重起。期待冰刃开机运行开始搞病毒
结果开机,冰刃运行不了。打开就自己跳啊跳啊。。。删除IEFO没用,病毒自己会建。运行病毒之前把IEFO的权限关了,病毒依然可以劫持。
现在GHOST了,开机以后速度把冰刃打开,禁止进程创建,删掉我释放的D盘的病毒:一个******.exe 一个autorun.inf
现在安全了55555555555
高手来分析分析,我哪里弄的不对?
……………… |
可以不用工具,手动删``
学猫叔哈``多备些Tiny SSM等工具
逍遥浪子45 - 2007-6-13 18:36:00
呵呵,我遇到个强悍的MM,什么工具都不用居然KO掉了那IFEO劫持最新变种,强啊.........直接DOS下删除掉文件就KO掉了那家伙...苦心经营的劫持完全么一发挥的余地.........
日不懂啊 - 2007-6-13 19:48:00
手工删?DOS下搞他?
日不懂啊 - 2007-6-13 19:49:00
TINY 都是英文的,搞不懂,SSM,太复杂了,没学会,HOHO
郁闷的是关闭了IEFO修改的权限
也设置了冰刃的开机启动,都没效果
三月学毒 - 2007-6-13 20:01:00
我就是中了这个病毒,不过,按照他们说的步骤,现在基本搞定了啊
日不懂啊 - 2007-6-13 20:02:00
你具体说下看看
我不知道我哪儿有问题
日不懂啊 - 2007-6-13 20:03:00
主要是没抢到先手
孤独更可靠 - 2007-6-13 20:07:00
| 引用: |
【日不懂啊的贴子】主要是没抢到先手
……………… |
有跟踪工具么?``
HIPS是一定要有的`````
(我现在2个)
最后是弄个VM或影子``
日不懂啊 - 2007-6-13 20:26:00
么有,哈哈
你说的HIPS不太懂,看帖子里说的,是不是TINY这些啊
影子系统也没搞,不会~~HOHO,菜的很
我想问啊,出现我这种情况,我觉得应该采取的是在DOS手工删.
可是如果我不知道是什么病毒,工具打不开,只看到病毒加载的启动项,还有劫持,我在DOS下怎么处理呢?
而且我病毒释放在D盘了,AUTORUN.INF那个我在DOS下没看到啊
sanjingshou - 2007-6-13 20:37:00
baohe - 2007-6-13 20:59:00
| 引用: |
【日不懂啊的贴子】
用猫叔教的在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 里面Userinit设置了改了名字的冰刃。然后重起。期待冰刃开机运行开始搞病毒
结果开机,冰刃运行不了。打开就自己跳啊跳啊。。。删除IEFO没用,病毒自己会建。运行病毒之前把IEFO的权限关了,病毒依然可以劫持。
……………… |
请将你改过的userinit项以及改名后的IceSword的文件名及其路径贴上来看看。
日不懂啊 - 2007-6-13 21:31:00
都GHOST过了。
我把冰刃改成3213.exe.把冰刃的整个那个文件夹也改了,叫1333
在注册表里是这样搞的
C:\WINDOWS\system32\userinit.exe,d:\1333\3213.exe
不知道这样对不对,哈哈
日不懂啊 - 2007-6-13 21:32:00
但有一点疑问的是,我改了冰刃的名字,可是在那个剑的图标里名字是3213.exe但下面还有一行灰色的IceSword
baohe - 2007-6-13 21:40:00
| 引用: |
【日不懂啊的贴子】都GHOST过了。
我把冰刃改成3213.exe.把冰刃的整个那个文件夹也改了,叫1333
在注册表里是这样搞的
userinit.exe,d:\1333\3213.exe
不知道这样对不对,哈哈
……………… |
不明白:你的系统在D盘?
改名的IcrSword是3213.exe?这个3213.exe放在D:\1333\目录下?
我的理解没问题吧?
baohe - 2007-6-13 21:45:00
| 引用: |
【日不懂啊的贴子】但有一点疑问的是,我改了冰刃的名字,可是在那个剑的图标里名字是3213.exe但下面还有一行灰色的IceSword
……………… |
我的系统在C盘。改名的IceSword:
C:\IS.exe
userinit设置如下图。
染毒环境下,重启系统后,IS.exe可以运行。
附件:
1558472007613213520.jpg
日不懂啊 - 2007-6-13 21:47:00
晕哟,明天把冰刃直接放D盘,照葫芦画瓢了
再试试看,不行再GHOST,哈哈~~~~
baohe - 2007-6-13 21:47:00
| 引用: |
【日不懂啊的贴子】但有一点疑问的是,我改了冰刃的名字,可是在那个剑的图标里名字是3213.exe但下面还有一行灰色的IceSword
……………… |
正常现象
日不懂啊 - 2007-6-13 21:48:00
我明白怎么回事了
我系统还是C盘~~~
低级错误55555
谢谢猫叔了~~
loveperday - 2007-6-13 21:53:00
意思是启动程序必须是系统盘的程序?汗。。
LZ居然实际测试,佩服。。。
HIPS类软件很多,国产的PS和EQ其实还都可以。
loveperday - 2007-6-13 22:00:00
“权限关了也能劫持?”你确定?
日不懂啊 - 2007-6-14 9:53:00
【回复“loveperday”的帖子】
我确定,当时运行病毒的时候,机器情况我说下。
关闭了IEFO的修改权限。关闭了自动播放。在瑞星监控开启的的情况下病毒直接被删。所以当时也关闭了瑞星监控。当时还在运行的安全软件有:卡卡助手,瑞星防火墙,360安全卫士。
病毒一运行成功,效果全出来了。但可以打开注册表。当时把IEFO里的劫持项删了,无效。把IEFO整个项删了,无效。
不信可以跟孤独要他那个随即8位病毒样本,运行试试
失误主要是没把改了名字的冰刃放到系统盘,开机没启动起来。
日不懂啊 - 2007-6-14 9:55:00
| 引用: |
【loveperday的贴子】意思是启动程序必须是系统盘的程序?汗。。
LZ居然实际测试,佩服。。。
HIPS类软件很多,国产的PS和EQ其实还都可以。
……………… |
看来还是搞点HIPS用用,呵呵。
谁能给我个网址
我比较懒~
孤独更可靠 - 2007-6-14 10:01:00
| 引用: |
【日不懂啊的贴子】【回复“loveperday”的帖子】
我确定,当时运行病毒的时候,机器情况我说下。
关闭了IEFO的修改权限。关闭了自动播放。在瑞星监控开启的的情况下病毒直接被删。所以当时也关闭了瑞星监控。当时还在运行的安全软件有:卡卡助手,瑞星防火墙,360安全卫士。
病毒一运行成功,效果全出来了。但可以打开注册表。当时把IEFO里的劫持项删了,无效。把IEFO整个项删了,无效。
不信可以跟孤独要他那个随即8位病毒样本,运行试试
失误主要是没把改了名字的冰刃放到系统盘,开机没启动起来。
……………… |
自己的IFEO权限设置错了8```
如果是病毒在运行的话,那么你不用删除了,他会自己恢复的.`
总的来说这病毒破绽太大``只要一个思路
把那个随机8位数.dll干掉就可以了
方法很多很多的
1
© 2000 - 2026 Rising Corp. Ltd.