12   2  /  2  页   跳转

请问这是什么病毒?

收藏
hao12
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-03-29
  • 来自:
发表于: 2007-03-29 15:30 | 只看楼主 短消息 资料
字号: 11楼

我用winrar每个盘删除了autorun.inf以及setup.exe后,再启动注册表,注册表立马自动关闭,再看winrar,删掉的两个文件又出来了。
gototop
 
荣虎荣虎
头像
飘泊而立狮
  • 帖子:643
  • 注册: 2005-12-11
  • 来自:
发表于: 2007-03-29 15:52 | 短消息 资料
字号: 12楼

自已清除不易,找一个专杀吧。
gototop
 
hao12
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-03-29
  • 来自:
发表于: 2007-03-29 15:55 | 只看楼主 短消息 资料
字号: 13楼

不知道用什么专杀?请指教
gototop
 
hao12
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-03-29
  • 来自:
发表于: 2007-03-29 16:01 | 只看楼主 短消息 资料
字号: 14楼

再问个问题,我登陆瑞星论坛时,老出现如附图的情况,好几个询问,我都拒绝了,但只要打开瑞星论坛的一个新界面,又重复出现,请问怎么回事?今天被病毒搞得小心翼翼,请指教。

附件附件:

下载次数:192
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-29 16:01:44
描述:
gototop
 
hao12
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-03-29
  • 来自:
发表于: 2007-03-29 17:07 | 只看楼主 短消息 资料
字号: 15楼

请哪位高手帮帮呀
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-03-29 18:35 | 短消息 资料
字号: 16楼


样本已收到

分析完了

FSG2.0加的壳...

文件头似乎加密的,OD打开时不能识别,提示类型DOS方式.

瑞星没有报,不过VIRUSTOT别的杀软引擎有报(卡吧\DR等)

当时在影子模式,SSM监控时它试图连接网络下载其他病毒(我点了允许)

后来蓝屏了..做的报告都没保存.. T_T

.........

哎,晕死

中毒后SRENG结构被破坏,冰刃也打不开

在%systemroot%\system32\

生成了点东西,好像是3个,

注入Svchost.exe

在每个分区都生成setup.exe和autorun.inf

下载的病毒中有生成服务项等等.....(似乎都是盗号的)

由于条件不能测试是否感染文件..


跟原本的熊猫烧香差不多..你可以去试试看专杀有没有效果

PS:有想要样本的PM我



关注中.
gototop
 
llgf
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2004-08-24
  • 来自:
发表于: 2007-04-01 15:38 | 短消息 资料
字号: 17楼

我也是这个病毒,谁会删除
gototop
 
雄龙天下
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-02
  • 来自:
发表于: 2007-04-03 00:00 | 短消息 资料
字号: 18楼

这个应该是熊猫烧香的最新变种,所有专杀都杀不了的。我目前遇到一个,正在处理中。目前基本已正常。你先按这样操作:
1、删除system32\ime\svchost.EXE这个文件(如果结束不了,先运行卡卡,结束这个的进程,第一次运行可以操作到这一步,如果再运行就要重新启动机器再来结束),删除后注册表和其他软件都可以运行了。
2、打开注册表,把RUN里面的PROGMO和INTERNT这两个删了,RUN下面的子目录里面也有,要一起删了。
3、千万不要双击各盘符,用右键打开,然后删了SETUP.exe和AUTORUN.inf。
gototop
 
雄龙天下
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-02
  • 来自:
发表于: 2007-04-03 00:22 | 短消息 资料
字号: 19楼

继续补充:执行上面3步后,查找所有盘的日期在今天修改的文件,那些可执行的隐藏文件基本都是病毒源,把这些文件都移动到一个新建文件夹,发给瑞星公司,让他们解决吧。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT