瑞星卡卡安全论坛

1、此受感染程序不具备感染其它程序的能力。程序运行后，系统正常的资源管理器explorer.exe被改名为loader.exe，并存放到当前用户临时文件夹中。原windows目录及dllcache目录下的explorer.exe被病毒替换。除此之外，被病毒感染过的Slp3.exe运行后再无其它动作。下图是系统正常程序explorer.exe的MD5：





 附件: 您所在的用户组无法下载或查看附件


2、原windows目录及dllcache目录下的explorer.exe被病毒替换了。比较这三个程序的MD5即可判明：



 附件: 您所在的用户组无法下载或查看附件


3、开始用IceSword进行手工杀毒。先禁止进程创建：



 附件: 您所在的用户组无法下载或查看附件


4、结束explorer.exe进程：



 附件: 您所在的用户组无法下载或查看附件


5、删除dllcache目录下的explorer.exe：



 附件: 您所在的用户组无法下载或查看附件


6、删除windows目录下的explorer.exe：



 附件: 您所在的用户组无法下载或查看附件


7、将当前用户临时目录下的loader.exe拷贝到windows目录下：



 附件: 您所在的用户组无法下载或查看附件


8、拷贝loader.exe到windows目录时，文件名取为explorer.exe：



 附件: 您所在的用户组无法下载或查看附件


9、取消IceSword的“禁止进程创建”：



 附件: 您所在的用户组无法下载或查看附件

10、按CTRL_ALT_DEL三键，调出任务管理器。重新开启explorer.exe进程。




 附件: 您所在的用户组无法下载或查看附件

用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10

看了半天，没发现一个人回帖。难道菜鸟都已经成长老鸟了么？看来我又落后了……:kaka11:

我是菜鸟，问问题：

1、不知道猫叔怎么发现explorer.exe被挪到系统临时文件目录中去的？难道是全C盘搜索MD5?

2、猫叔所发属性图，是用啥软件实现查看“文件校验”标签的？

1、用Tiny追踪回滚模式监测病毒行为。
2、我的XP系统，不用其它工具，右键查看文件“属性”，即刻看到其MD5 。（不用工具的话，并非所有文件都能看到MD5。）

Hashtab有这效果....
PS：终于能上网了呢:kaka9:

呼呼，等网络管制解禁后，俺也去找一下这个hashtab……:default6:

目前还处在被管制状态，只能上新疆网和少数门户网站，搜索引擎网站、QQ和国外网站……不知道啥时候才能通……:default21:

我把Hashtab上传了，应该能下载吧。


 附件: 您所在的用户组无法下载或查看附件





PS：把我上面重复的帖子删除吧，网速慢，回帖不容易......:default87:

附件: HashTab Setup.zip

我也见过这个情况，我现在的电脑上就有这个校验选项卡，不知道是微软带的还是什么原因，貌似雨林木风的系统上有这个东西。

猫叔TINY的追踪回滚模式是不是就是追踪的那个模式，我英文不咋滴好，现在也正在用TINY，呵呵，不过没敢在物理机上用，先开始熟悉下在用:kaka12:

被替换的explorer.exe都改了什么呢？

:kaka12: 很菜的问一下TINY是什么来的？工具吗？