瑞星卡卡安全论坛

昨天帮一位MM处理病毒,也是那IFEO劫持病毒...
O4 - 启动项HKLM\\Run: [xywrebh] C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
O4 - 启动项HKLM\\Run: [vbcyhid] C:\Program Files\Common Files\System\terebmi.exe
进程可以在任务管理器发现,可以正常打开注册表,但WRAR被禁止使用..直接删除IFEO劫持,依然无效....只能传EXE文件给MM,给了那新版冰刃,能发现
C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
C:\Program Files\Common Files\System\terebmi.exe
进程...设置-->禁止进程创建--勾选-->确定
结束掉两个病毒进程,接着用KILLBOX直接删除该病毒文件,位于
C:\Program Files\Common Files\System\terebmi.exe
C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
提示成功删除该病毒文件,于是想显示所有文件...

发现无法显示,于是导入如下代码.BAT文件

:xianshi
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg
@echo ***********************************************************
@echo #                    显示所有文件完毕！                  #
@echo #                                                        #
@echo #                      按任意键退出                      #
@echo ***********************************************************
@pause>nul 2>nul
goto EXIT

还是无效,根本在所有盘中发现不了AOTURUN文件夹以及别的病毒...

由于认为那病毒主程序已经被删除,所以解除了对进程的限制...

刷新进程,没发现病毒进程....打开任务管理器...发现病毒正运行的欢......

为什么新冰刃无法发现?我于是用原版本冰刃,PJF大哥的那个,马上就显示了那两个病毒进程....

本人没啥水平,不知道如何办,还请各位帮助远程下那MM

MMQQ:371784986

今天遇到件郁闷的事情,没帮人解决病毒,反被人咬一口,说我放病毒在他机器上...详细来我博客看吧!~我狂郁闷...........

冰刃无效?

哪个方面?

方法不对么?

是不是病毒屏掉了冰刃?

孤独

我那天忘了向猫猫要那新冰刃了。

你那有吗？

发我邮箱行吗？

也给我一个好么???

恳求~~

IceSword 1.20 中文版 修正号061022


http://202.38.64.10/~jfpan/download/IceSword120_cn.zip

MD5 : cfb8514add1fbfb510b0084e837e561c

IceSword For Vista

http://202.38.64.10/~jfpan/download/is120en_vista.zip

MD5: 815cdcf4d9561954772e78a0a30c0cfc

既然都得重启的话，扫出SRE日志之后，用xdelbox，一锅端掉！
冰刃的问题，还是自己弄来样本在虚拟机里面搞吧！