天月来了 - 2008-7-11 7:26:00
也真滑稽
我上面连沙盘地址都弄那了。
还问
:default2:
自己百度呗。或者直接去那看呗:default2:
过客2007 - 2008-7-11 8:43:00
我也测试自己一遍吧..
试试学习使用猫叔的组策略等系统工具去处理这病毒吧..
networkedition - 2008-7-11 12:03:00
希望猫叔多组织一些类似的活动:default6:
baohe - 2008-7-11 12:12:00
原帖由 networkedition 于 2008-7-11 12:03:00 发表
希望猫叔多组织一些类似的活动:default6:
目前不能常搞。主要是时间有限。俺 不能“不务正业”撒~~
等俺退休了,应该不成问题了。
天月来了 - 2008-7-11 14:42:00
等猫退休
俺们早不知道跑去哪玩了。
:default3:
那时我们可能都不记得这论坛了。
琼台听雨 - 2008-7-11 22:00:00
原帖由
baohe 于 2008-7-11 12:12:00 发表
原帖由 networkedition 于 2008-7-11 12:03:00 发表
希望猫叔多组织一些类似的活动:default6:
目前不能常搞。主要是时间有限。俺 不能“不务正业”撒~~
等俺退休了,应该不成问题了。
等猫叔退休。。。。
子艳 - 2008-7-24 23:18:00
我注册时发的贴子问这毒没想到现在猫叔又在这里发样本:default3:
开心101 - 2008-7-25 0:15:00
:kaka18: 这帖子又浮上来了
我还想找呢
叶陵君 - 2008-8-9 13:02:00
:default2: 虚拟机运行它啥也没下载。。。连网了。瑞星卡卡都不用关闭,很安静。system32目录下 建了个同名程序。 服务和驱动都没创建。
自启动多了它。和政府发现的一样。
toyer - 2008-8-28 22:04:00
:default6: :default6:
通明1 - 2008-8-28 22:42:00
不错啊,俺试试俺的能力哈哈哈:default6: :default6: :default6:
逆风轻扬 - 2008-9-1 19:14:00
才看到这帖子,哎,迟到了~~我是超级菜菜,大家不要笑我啊~~
win2000 AD server系统 管理员用户为administrator
因为了看了LZ的介绍,所以运行病毒前清空:
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
c:\winnt\temp
我比较笨的,觉得清空一下会比较有用
运行病毒后进程中有msnhostin.exe进程,结束后再加载。
运行几次出现几个,而且一但运行就结束不掉了。
好像有的病毒只允许加载一个的,这个不是。
用SRE扫描发现启动项里被添加
<MSN Host><msnhostin.exe> []
<Symantec DB Server><symdbsvr.exe> [Symantec Solutions]
手动删除过程
定位该文件,打开冰刃,打开命令提示符,设置冰刃为“禁止进线程创建”
杀掉进程msnhostin.exe
并用命令提示符下在system32目录下建立同名文件夹,
md msnhostin.exe
md msnhostin.exe\dfdf.....\
md symdbsvr.exe
md symdbsvr.exe\dfdf.....\ (算是免疫用吧)
关闭冰刃。
用SRE删除多余的启动项。
检查了一个TEMP文件夹
发现C:\Documents and Settings\Administrator\Local Settings\Temp下有一压缩包MyPhoto009-XxX.zip(不知道和这个病毒有没有关系,但应该不是什么好东西)
解压后为MyPhoto009-XxX.JPEG_www.facebook.scr
运行后没发现有什么变化。
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\RBTZBD8K文件夹下有一个EXE文件Exv-6[1].exe,(感觉不是什么好东西,不知道和这个病毒有没有关系)
没有发现有可疑的服务项,驱动项。至此我能做的只有这些了。
其它的我是无论如何也找不到了,我不会查关于进程被注入的信息。
本人超级菜~~~ 敬候LZ给我们讲解这个病毒的行为以及清除办法。
我是用我们单位的机器试的,没有虚拟机,下班啦,得杀毒了~~
要不会被老板干掉的。
hongjiaen - 2008-9-1 21:42:00
我把这两个给删了好像就没症状了
c:\Documents and Settings\hongjiaen\Local Settings\Temporary Internet Files\Content.IE5\KTAF0PM7\Exv-6[1].exe
c:\WINDOWS\system32\msnhostin.exe
alwnfin - 2008-9-2 1:46:00
我下载下来是attachment.aspx然后我把后缀名改为exe的运行就报错误
是怎么回事
alwnfin - 2008-9-2 11:32:00
LZ怎么还没有有人回话
奇缘の随风 - 2008-9-8 22:27:00
学习了啊
烟柳 - 2008-9-8 22:37:00
原帖由 hongjiaen 于 2008-9-1 21:42:00 发表
我把这两个给删了好像就没症状了
c:\Documents and Settings\hongjiaen\Local Settings\Temporary Internet Files\Content.IE5\KTAF0PM7\Exv-6[1].exe
c:\WINDOWS\system32\msnhostin.exe
我的也是,好像网管把一些网站给屏蔽了,然后就没法下载那些木马了。
本来还想看看的,实战一下的。:default2:
赤日炎炎 - 2008-9-9 6:29:00
想过这关也有个作弊的方法---先在未染毒时悄悄扫个日志,然后下载病毒运行,再悄悄扫个日志,对比2个日志,就能大体上知道病毒怎么感染机器的.然后,按先结束进程,再修改注册表,再三除文件的办法杀毒,也可直接进安全状态去修改注册加删文件法.估计应该没问题,只是担心不成功,怕坏了我机器,所以没敢实践:default3:
© 2000 - 2026 Rising Corp. Ltd.