瑞星卡卡安全论坛

见到几个帖子，说这个3.pif挺NB。
找样本运行了一下，不想他们说的那么难搞。
招数吗，还是用"软件限制策略"禁止病毒程序加载运行；规则用“散列规则”或“路径规则”均可。

设置好上图所示的"软件限制策略"后，重启。删除病毒文件。如果那个3.pif删不掉，用IceSword宰它（因IFEO劫持IceSword不能直接运行－－－－－可以改名运行）。


至于病毒IFEO劫持、删除安全模式问题－－－－－可以用SRENG修复；
病毒更改系统时间问题－－－－自己再改回来就是了。
因中/杀此毒损失的wuauclt.exe－－－－从同样版本的系统中拷贝一个到%system%目录下即可。


用户系统信息：Opera/9.52 (Windows NT 5.1; U; zh-cn)

猫叔的沙发~:default6:

散列规则？不需要路径吧？猫叔？

创建“散列规则”，需要确认相应文件的MD5。当然要知道并给出相应程序的路径。

特例：中此毒后，无法建立针对c:\windows\system32\dllcache\wuauclt.exe的散列规则。此时，用路径规则即可。

c:\windows\system32\dllcache\wuauclt.exe这个md5和c:\windows\system32\\wuauclt.exe是一样的.禁止一个就行

没怎么明白啊，说的挺迷糊的，能在详细点不:default8:

难懂  不是给我这种人看的

还没用过组策略呢，哎，电脑漏洞的地方

哎，两分钟学玩了，组策略不过如此

猫版，是否可以用替换系统文件的方法替换感染文件，然后执行杀毒。。。我这样做的，也清除了病毒。。

为什么我设置的散列规则里没有图片上的描述的呢？？
不会是版主你自己写上去的吧？
而且我是禁用了这个文件～但怎么也删不了～～
安全模式修复了～用冰刃也删不了～～
:default2:

汗！
散列值是系统自己找的，不是用户自己写的。添加散列规则、按路径找到相应文件、应用、确定即可。

你不会设置散列规则吧？

那就对了啊～～我是这样做的～～～
不过那个3.pif还是没办法删掉～～
开机的时候他已经没有自启动了～～:default2:

3.pif－－－－可以用IceSword强制删除

冰刃试过了～～
点了强制删除后只是一闪而过～～
没有删除～
我把冰刃的扩展名改为com～这有影响吗？

冰刃肯定可以删除3.pif。
不过，要多操作一步：点“强制删除”（没删掉）；接着再来一次“删除”（普通删除）。OK！

NTFS权限
没权限引起的不能删除吧

貌似DOS删除才行。。。

强～～～我光点强制删除呢～～
原来这样的啊～～
谢谢版主大人～～删了哦～～～开心～～～:default6:

若会用IS的话，无此必要。

最新的mm.exe变种.组策略没有什么效果.

估计是此毒删除了组策略吧？或者是病毒禁用了mmc.exe。

能否将你那个“最新的mm.exe”发上来看看？

这个我简单的试了一下.组策略没什么效果.具体提示什么,忘记了.
主要动作与以前的没什么区别.
请版主看看.

附件: autorun.rar.rar

软件限制策略依然有效：


结束病毒进程后，灭之。