瑞星卡卡安全论坛

1、先交代一下：在无任何设防条件下在WIN7环境中完整运行此毒后的典型症状————病毒驱动qcndnjjg.sys顺利加载并完成了object hook。


2、接着交代手工灭此毒的简单方法：病毒在无任何设防条件下在WIN7环境中完整运行后，不做任何操作，直接重启系统。重启时，系统自检完成后，立即按F8，选择“使用最后一次正确设置”。
登陆系统后，病毒开始出丑了。此时点击对话框中的“确定”即可。



3、此时试试直接删除病毒程序：



4、删掉了：



5、再试试删除临时目录下的病毒程序：



6、删掉了：



7、就是drivers目录下那个所谓的顽固驱动，此时也可直接删除：


8、检查object hook--恢复正常。


用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61

哈哈，这招够损:kaka5: ，又学一招:kaka12:

滑稽的事

仅是此毒忘记这些方面了

增加针对Windows的这些基础性的东西后

我估计新玩意能保证不论什么模式启动，病毒都自动加载，呵呵！！！

厉害啊

另请注意：用工具监测此毒运行时，监测结果不准确。本例：CAHIPS监测到病毒释放驱动程序1394ohci.sys（重复运行此毒样本三次都是这个监测结果）。






此毒真正释放到drivers目录下的病毒驱动其实是opfwhiws.sys。此驱动程序名可变（即：每次感染时这个.sys的文件名不同）

win7环境不同于常规XP/2000，老猫玩的太爽了！

环境不同病毒真容易被戏弄:kaka6:
一段时间没来才发觉也换XT了:kaka12:

我是菜鸟，多向大家学习学习！我加入

为什么会在win7下出现这个情况捏？:kaka8:
病毒爱XP 不爱win7 怀疑win7是不是回个Vista同学一样。。:kaka12:

xp下也可以么？

学习下哈，自己动手:kaka12: 谢谢

运行病毒，待病毒动作全部完成后，重启一下，检查一下病毒驱动是否正常加载，比如是否完成object hook。然后再重启使用“最后一次正确的配置”试试。

又是将近一年多没来了，见过猫叔了！

主要是system进程下面的两个监视线程(驱动名)，只要暂停这两个线程就能轻松的恢复各种object hook，NTFS.SYS inline hook，FSD hook等，因为那两个线程是监视自己的hook是不是被恢复了

好像在\Winlogon\Taskman还有个启动项