一个新毒及其手杀流程 bbs.ikaka.com

baohe - 2009-2-25 10:02:00

瑞星21.27.12不报毒。

关闭所有安全软件，只保留SSM监控。样本运行后，此毒直接进行磁盘底层操作（SSM报），放行后，释放病毒文件。

待其完全运行后，重启，SSM报rundll32.exe试图行磁盘底层操作、改写explorer.exe内存、访问网络（IP为济南市网通）。

以下是我借助SSM的手杀流程（供中招者参考）：

1、用SSM规则禁止2cre.exe。

2、重启。
3、删除病毒文件。

4、删除病毒添加的注册表内容。

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

池州代言人 - 2009-2-25 10:07:00

一般人很少用到你这个工具来查杀病毒。

有手动查杀病毒经验的我估计用的也不是很多。

xiaoyu_2009 - 2009-2-25 10:56:00

手动对自己识别病毒能力要求较高啊!还要有过硬的心理素质啊!

天月来了 - 2009-2-25 11:52:00

只是提供一个思路

提供一个处理病毒的流程而已

学一学嘛

瓶子里没有水 - 2009-2-25 13:21:00

SSM也能这样用？谢谢猫叔～:default9:

baohe - 2009-2-25 15:05:00

引用:

原帖由 池州代言人 于 2009-2-25 10:07:00 发表
一般人很少用到你这个工具来查杀病毒。

有手动查杀病毒经验的我估计用的也不是很多。

本帖目的在于启发。只提供思路。具体方法可以根据自己手里的工具，灵活处置。
比如：你没有SSM，会用组策略不？如果你的系统组策略可用，且会用，一样可以手工灭它。

超级游戏迷 - 2009-2-26 21:18:00

已经见过这个病毒的双胞胎了，不过忘记让求助者留压缩包了，囧……:default3:
两个计划任务、一个冒充微软签名的服务、一个冒充微软签名的浏览器加载项，特点很鲜明，印象很深刻……:default7:

鬼头鬼脑144 - 2009-2-28 9:24:00

向猫叔等高人致敬

ASkill - 2009-2-28 15:33:00

学习一下很多年没玩ssm了。。。。

badboyhhz - 2009-2-28 15:49:00

题外话：SSM什么软件没接触过

天月来了 - 2009-2-28 16:29:00

可以百度一下，一个不错的HIPS软件

只是因为官方销售不好

已经停止开发了

网站也关闭了。

ASkill - 2009-3-7 0:01:00

cos of crackers

瑞星卡卡安全论坛