瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » “犇牛”病毒
onisuly - 2009-2-10 21:31:00
今天终于弄到“犇牛”病毒的样本了,放虚拟机里试了试,果然好厉害,竟然连物理机上的ESET NOD32 Antivirus也报毒,机子卡的要死,用最先爆出“犇牛”病毒的360木马专杀大全杀到了这结果,唉,附上SREng日志,本人小菜不懂,有大虾就研究下吧。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)

附件: 运行病毒前SREngLOG.rar

附件: 运行病毒后SREngLOG.rar

附件: 物理机NOD32监控报毒.rar
caogensk - 2009-2-10 21:43:00
迅雷被劫持,下载工具修复下。
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625下载镜像劫持修复工具

[PID: 476 / Administrator][C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE]
把病毒进程结束了。

水平有限,先试试,参考一下置顶帖里usp10.dll的处理方法。
pigboy - 2009-2-10 21:45:00
扫描后的日志讯雷还被劫持着 修复下
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]


下面的这是声卡吗?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <SRS Premium Sound><"C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme>  [SRS Labs, Inc.]

驱动程序
[SRS Labs Premium Sound / SRS_PremiumSound_Service][Running/Manual Start]
  <system32\drivers\srs_PremiumSound_i386.sys><>
[VirtualDrive / VirtualDrive][Stopped/Auto Start]

C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE结束自行处理

  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\vdd-x86.sys><N/A>  这个又是啥:default3:
夲號ヱ被ジ盜 - 2009-2-10 21:45:00
样本拿来
看来这个得开主防玩
夲號ヱ被ジ盜 - 2009-2-10 21:47:00
不用了
原来是USP10.DLL
onisuly - 2009-2-10 21:49:00


引用:
原帖由 caogensk 于 2009-2-10 21:43:00 发表
迅雷被劫持,下载工具修复下。
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625下载镜像劫持修复工具

[PID: 476 / Administrator][C:\Documents and Se

C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE未找到,没有发现镜像劫持:default6: :default6:
onisuly - 2009-2-10 21:51:00


引用:
原帖由 pigboy 于 2009-2-10 21:45:00 发表
扫描后的日志讯雷还被劫持着 修复下
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Ve......

下面的这是声卡吗?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <SRS Premium Sound><"C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme>  [SRS Labs, Inc.]

驱动程序
[SRS Labs Premium Sound / SRS_PremiumSound_Service][Running/Manual Start]
  <system32\drivers\srs_PremiumSound_i386.sys><>
[VirtualDrive / VirtualDrive][Stopped/Auto Start]
是声卡:default15: :default15: ,迅雷没发现劫持啊
pigboy - 2009-2-10 21:57:00
下载XDelBox删除以下文件(下载地址:http://dly2007.ys168.com)

使用说明:删除时复制所有要删除文件的路径 在待删除文件列表里点击右键选择从剪贴板导入 导入后在要删除文件上点击右键

选择立刻重启删除 电脑会重启进入DOS界面进行删除操作 运行xdelbox前最好卸载所有可移动存储介质(包括U盘、MP3、手机存储卡等)

-----------------------------------------------------
以下的删除操作最好在安全模式下进行
-----------------------------------------------------
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\vdd-x86.sys
C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE

没发现劫持也要使用SREng--启动项目 --注册表之如下项删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]


使用SREng--启动项目 -- 服务-- 驱动程序之如下项删除:
[VirtualDrive / VirtualDrive][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\vdd-x86.sys><N/A>

然后下载Windows清理助手进行清理
http://www.arswp.com
1
查看完整版本: “犇牛”病毒
© 2000 - 2025 Rising Corp. Ltd.