瑞星卡卡安全论坛

样本由“彩色的石头”网友提供。
对于新手，此毒欺骗性较大。多分区系统，可能更不易搞掂。
我的电脑只有一个分区，运行了一下此样本。搞起来相对容易一些。

1、病毒遍历根目录下的1、2级文件夹，并在同级目录下释放与文件夹同名的病毒文件.exe；将原文件夹变为隐藏、只读。

2、进程列表中可见两个相互守护的病毒进程（c:\windows目录下的10.exe和2008.exe）。要结束这两个进程，需要用特别点儿的手段。我是用SSM禁止其加载运行。用IceSword，禁止进程创建，再同时结束这两个进程，估计也行。

3、由于正常的文件夹已被病毒隐藏，用户用explorer.exe看到的“文件夹”其实都是病毒程序。因此，手工杀毒时，建议用WINRAR这样的工具寻找并删除病毒文件。

4、此毒修改注册表N处，大多是文件关联项。我用tiny阻止了这些更改，故不需特别处理。删除病毒加载项即搞掂。没有防护的条件下中招，这些文件关联项需要用工具修复。


5、此毒删除系统程序userinit.exe。杀净病毒后，先不要忙着重启。务必从同类系统%system%目录下拷贝一个正常userinit.exe到中招电脑的系统目录下。


用户系统信息：Opera/9.52 (Windows NT 5.1; U; zh-cn)

嘿，这类的病毒前几天我还真遇到过，不过启动项没猫叔这个复杂，对于用户，最麻烦的是文件夹都被隐藏，无奈，把以下内容保存为bat放在磁盘目录下运行……
attrib /s /d -s -r -h

btw，本来偷懒想拿totalcommander修改文件夹属性的，但是居然不成功，修改完，隐藏属性没变化

刚才忘了说……猫叔能否给个样本
我邮箱torsion519@qq.com

偶还没见过~~

不过同样的感染方式倒是见过~手删只是麻烦。:default9:

前天见过,组策略好像也不能运行.userinit.exe被篡改.
隐藏属性只能用cmd更改一下.attrib /s /d -s -r -h会显示出所有文件夹.原来隐藏属性的也显示出来.不可取.
隐藏文件的扩展名这项也被修改了.无法显示.只能从注册表中导入.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]

连reg VBS的关联都修改了
还好还有bat 和com
不能直接用reg文件恢复 关联和隐藏设置
要等病毒完全清理干净再做事后工作

建议baohe大版主把最后一条步骤用高亮加粗方式强调，否则一些新手如果忽略这个步骤，重启电脑后将无法正常登录系统。

猫叔讲一下怎样设置通过tiny来阻止病毒对注册表的修改。

学习了

这个，不一定非得用Tiny搞。用瑞星主防也能做。

给你一个例子，用Tiny禁止更改.exe关联的设置如下：

还可以...我也要个样本  hou2298@yahoo.com.cn

样本在：http://bbs.ikaka.com/showtopic-8558061.aspx

http://bbs.ikaka.com/showtopic-8557463.aspx  這裏。。


用XB删的...进不去了

不懂楼上说的什么意思

XDelbox删除病毒后不能登录？

手工杀此毒，不要用XDELBOX。
用了，就上当。
看主帖 第五（红色粗体）部分叙述即可明白。


找张WINDOWS 安装光盘，用此光盘启动系统，拷贝userinit.exe到系统目录下。

用虚拟机试的 。。用XB删除要重启。。重启之后就进不去了。。

删除这个病毒要用别的工具。

不是XD的问题

userinit.exe
不在的话
会导致登录时就注销

【引用主帖】：

5、此毒删除系统程序userinit.exe。
杀净病毒后，先不要忙着重启。
务必从同类系统%system%目录下拷贝一个正常userinit.exe到中招电脑的系统目录下。

本来就不再。。userinit.exe被病毒文件替换了。删除病毒文件就进不去了。

那不删除病毒

病毒通过哪个文件维持系统的正常启动的呢？

应该是在删除不重启的情况下 然后在拷贝userinit.exe

那你意思是这病毒只有中一次的机会

中了后

不处理病毒，系统也完蛋了？

怎么会完蛋呢？。。。就算是不删除 也能靠病毒文件维持吧。

你都虚拟机测试了

你问我？？？？

学习了 :default5: :default5:

10.exe和2008.exe的MD5码怎么是相同？

猫叔

怎样用瑞星主防搞？

:default2: 怎么找到那两个文件，手工杀啊？我想手工杀，找不到那个文件，文件夹选项那里要显示已知文件夹类型，都被隐藏了