瑞星卡卡安全论坛

瑞星20.66.60不报毒。

此毒改写系统文件beep.sys；恢复SSDT，并通过IFEO劫持废掉多个杀软及辅助杀毒工具。中此毒后，IceSword这样的工具也不能用了（此毒监视这些工具的目录、文件名以及窗口内容）。

Wsyscheck改名后还能正常运行。用改名后的Wsyscheck（如：WSC.EXE），按下图处理即可灭掉此毒。
重启后，手工删除病毒添加的加载项、服务项、IFEO劫持项即可。



病毒的服务名可能是随即字母名




此毒搞掉IceSword的原因恐怕是因为这个：



用户系统信息：Opera/9.60 (Windows NT 5.1; U; zh-cn) Presto/2.1.1

看完帖子，再回复，不行么？:default3:

我也中过类似的病毒，Icesword直接被删除，后来也是通过Wsyscheck改名后启动把病毒删除的。楼主的方法是很值得学习的。

猫叔..

你在那里下载英语版的冰刃啊？

我想去下下..

那么

清理完这毒后就要替换系统文件beep.sys

猫叔样本上传给瑞星了吧:default7:

此毒搞掉IceSword的原因恐怕是因为这个：


是什么意思？

猫版没开下载啊,  那这个毒也失去研究意义了.  该毒的真正意图是联网下载 HB开头的DLL  和一些木马.

我用IDM（一个下载工具）接管所有网络下载。

遇到病毒下载器，下载的病毒全部进入IDM的download文件夹内。并不能自动运行。

猫叔换工具了呀

应该不像是PJF在初始界面中写下的pjf(ustc)和IceSword，这些东西如果不是label的话，早就被转化成图片了。
而从图片中识别文字是十分麻烦的。

其实检测IceSword启动是很简单的。。。。Hook 掉CreateProcessExW，然后检查效验和就行。

找到这个病毒的软肋了:default6: