瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 还是IPZ。EXE
夏天风1 - 2010-10-15 12:39:00
局域网毒?OR攻击路由器?这个毒是9月24日才出现的吗?

附件: system32.rar (2010-10-15 12:39:29, 306.50 K)
该附件被下载次数 1113

大头23 - 2010-10-15 13:34:00
有什么现象吗?楼主上传的压缩包文件报毒,瑞星是可以清除的。
夏天风1 - 2010-10-15 14:03:00


引用:
原帖由 大头23 于 2010-10-15 13:34:00 发表
有什么现象吗?楼主上传的压缩包文件报毒,瑞星是可以清除的。



是的,第一次是可以清除,可第二次中了后就清除不了的,可能是破坏了病毒库?还是什么原因?

在局域中中了此毒后,会造成内网PING通,且不掉包,很正常的样子,可是PING外网和路由就会不正常,
现象是PING四次正常,一次时延很大,很有规律的样子,如果多台机子中了此毒,那就会造成全网掉包。
拨了外网连线后,内网又是很正常的,插上外网后,前一分钟很正常,时间越久,掉包越严重。这个毒查
到是win32.Troj.Generic 并在服务里开启智能P2P僵尸主机,注册表里是:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPZ]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPZ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPZ]
也有
键值如下:
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPZ\0000]
"Service"="IPZ"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Intelligent P2P Zombie"

这个是加了双壳的UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
如果本机手工删了后,在内网有这毒的话,还是会自动传过来的,可能是用了4489远控端口,
现在就是想看看瑞星有没有这专杀工具,能否全内网断线杀了后,再联网,可不可行?
networkedition - 2010-10-15 14:07:00
局域网环境建议客户端设置强密码,关闭默认共享(如不用共享),客户端操作系统打全系统补丁等,lz方法可以尝试使用。
夏天风1 - 2010-10-15 14:34:00


引用:
原帖由 networkedition 于 2010-10-15 14:07:00 发表
局域网环境建议客户端设置强密码,关闭默认共享(如不用共享),客户端操作系统打全系统补丁等,lz方法可以尝试使用。


以上方法在我们这都不太可能实现,部门不一样,不是单机或网吧。强密码不能用,使用人对机算机了解不一样。共享肯定要用,补丁打全了。U盘也是不能封的。

不管如何,还是谢了大版主。

主要是想看看这个程序是作者在9月24日做出来的,如果瑞星能做出个专杀,当然更好,如果不能,那除了上述方法,还有没有别的路可走?几百台机子,不在同一地方,有的相隔一百多公里。主要是不能重装系统
大头23 - 2010-10-15 14:46:00
你先断网看看这个病毒是否能够处理呢?如果不能清楚看看处理结果是什么。提供病毒的路径和瑞星的程序版本
hoteggs - 2010-10-25 10:29:00
楼主,我单位电脑也是中了IPZ。EXE,现在被搞伤的了,进程杀了还会自动在出现,症状和楼主描述一样,现求解决方案
1
查看完整版本: 还是IPZ。EXE