我杀灭了强悍的病毒，经验和方法给大家做个参考。

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛我杀灭了强悍的病毒，经验和方法给大家做个参考。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

我杀灭了强悍的病毒，经验和方法给大家做个参考。

钟情山水初生襁褓狮帖子:3 注册: 2007-05-29 来自:	发表于： 2007-05-29 19:35 \| 只看楼主短消息资料字号：小中大 1楼我杀灭了强悍的病毒，经验和方法给大家做个参考。我昨天写的，发表在我的博客上了，今天在发到这里，大家看看，欢迎到我的博客做客。http://hi.baidu.com/lyzfx 更改病毒文件名杀掉Worm.Pabug.dc病毒今天遭遇到比较强悍的病毒，和病毒进行了一番较量：一起因病毒是在同事的机器上用U盘考了个文件后出现的，估计是通过U盘传播的病毒。二病毒的表现： 1 把我的瑞星杀毒软件给关掉了，瑞星杀毒软件不能运行。瑞星杀毒不能打开，也不能卸载，也不能重新安装。进入瑞星杀毒安装界面就被病毒关掉进程了。 2 不能显示隐藏文件。不能更改菜单－工具－文件夹选项－查看－隐藏文件和文件夹，显示所有文件和文件夹不起作用。 3 超级兔子魔法设置打不开。超级兔子魔法设置也不能运行。能卸载和重新安装，但是打不开，软件不能运行。 4 有好多软件工作不正常，不能运行，一闪而过。 5 上网，浏览器搜索引擎中如果出现敏感字眼，比如病毒，杀毒，瑞星，等等，浏览器马上关闭。 6 我把我正版的瑞星杀毒2007拷贝到我的硬盘上了，打开杀毒软件安装盘的目录，也会马上关闭。 7 好多软件里不能出现诸如病毒之类的字眼，否则立即关闭。 8 安全模式也进不去了，开机按F8键不能进入安全模式。三应对 1 由于WINDOWS的资源管理器不能显示隐藏文件，于是用外部软件ACDSee的资源管理器打开硬盘，ACDSee可以查看到隐藏属性的文件。发现除了系统盘C：以外的几个硬盘，在根目录下多了两个隐藏文件：05AE9FE4.exe和AutoRun.inf。用记事本查看AutoRun.inf的内容如下： [AutoRun] open=05AE9FE4.exe shell\open=打开(&O) shell\open\Command=05AE9FE4.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=05AE9FE4.exe 利用自动运行来运行病毒，具有U盘病毒的特征。 05AE9FE4.exe和AutoRun.inf两个文件可以删除，但删除后马上有会再次出现。由于不能确定病毒感染的程度，所以重装系统也不一定有用。 2 用系统配置实用程序查看启动项，没有发现问题。用WINDOWS任务管理器查看进程，没有发现可疑的进程，终止掉大部分进程，也不能禁止病毒的进程。用优化大师的进程管理器也不能发现是哪个进程的问题。 3 用我的感染病毒的机器上网，寻找答案，IE浏览器被病毒控制，不能搜索出答案。键入病毒杀毒瑞星等等，浏览器马上被关闭。另外找了台机器，上网，搜索关键词“瑞星杀毒软件不能运行”，参照网友的方法，在我的机器上做如下试验：在桌面上新建两个文件夹，命名为 05AE9FE4.exe和AutoRun.inf。右键点复制。用ACDSee软件的资源管理器打开硬盘，删除硬盘根目录下的两个文件05AE9FE4.e xe和AutoRun.inf后，马上右键点粘贴，把两个空文件夹粘贴进去，用两个空文件夹代替两个隐藏的病毒文件。病毒发觉文件被删除，也建立不了新的病毒文件，因为文件名相同，病毒文件无法复制进来了（在同一目录下，如果存在一个文件夹，再想粘贴进来同名的文件时，系统会提示存在文件名相同的文件或文件夹，无法粘贴）。用相同的方法，把除了系统盘以外的几个硬盘根目录下的病毒文件全部替换。下面要找出病毒真正的藏身之处。在我的电脑中全部禁用系统还原。清除网页地址。Internet浏览器属性－常规－Internet临时文件－清除临时文件，清除历史记录。下载SREng软件，病毒对SREng软件也是敏感的，一开始， SREng软件被关闭了好几次。我把SREng软件改名（例如可以改名为3322.com的形式），在打开的瞬间，赶快点击启动项目选项卡，SREng软件终于可以稳住了。用SREng软件终于查到一个启动项，关联到C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe，这就是真正隐藏的病毒了，终于找到病毒的老窝。删除这个启动项，马上又建立了一个。删不掉。删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe这个文件，提示文件正在使用，无法删除。试着更改文件的属性，去掉隐藏属性，成功，马上重命名文件为05AE9FE46666.exe，成功。病毒建立了另外一个文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.dll，顺便删除。查看删不掉的启动项，关联的文件名还是C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe没有改变，马上重新启动系统，病毒的症状消失，被更名后的病毒成了僵尸。删除掉病毒文件，删除病毒建立的启动项。可以查看隐藏文件，超级兔子魔法设置可以启动了，瑞星杀毒软件还是不能启动。删除后重新安装瑞星杀毒，提示病毒基本库安装错误，继续安装完成后，瑞星杀毒不能运行。安装卸载反复几次，瑞星就是不能正常工作。安装过程中提示有错误，安装完成后，不能自动启动，双击Rav.exe文件，提示系统找不到文件D:\Siring\Rav\Rav.exe。记得我在病毒工作的时候，打开过几次瑞星杀毒软件所在的目录，都是一闪而过，被病毒关掉了，并且病毒在D：盘的根目录下建立了一个隐藏文件，记录了瑞星杀毒软件的一些基本信息（病毒建立的文件被我删除了，忘了记录文件名和内容，只记得文件里面有记录了瑞星杀毒软件的文件夹位置等信息）。想到病毒是不是向注册表里写了什么东西，禁止瑞星的正常运行或重装。于是彻底卸载瑞星杀毒，重新启动系统，用优化大师清理了注册表，重新安装瑞星软件，并更改了安装目录文件夹名为“D:\瑞星杀毒\瑞星”，到此，瑞星杀毒安装成功。上网，更新病毒库，杀毒，又在C:\Documents and Settings\***\Local Settings\Temp\下发现05AE9FE4.exe文件，报告是Worm.Pabug.dc病毒，还在C:\windows\Help下发现文件名为05AE9FE4.chm的病毒。上网搜索05AE9FE4.exe没有搜索结果，估计05AE9FE4字符串是随机产生的。删除两个病毒后，杀毒结束。四总结：通过更改病毒文件名，使系统重新启动时不能关联病毒，把病毒变成僵尸，终于杀掉病毒。杀毒软件在病毒面前好像不堪一击，最后连重新安装都困难。可见杀毒软件还要加强。 Worm.Pabug.dc是Worm.Pabug病毒的最新变种，病毒随机生成8位数的病毒文件名，无法按病毒的文件名来查杀病毒。只能查看启动项来杀灭病毒，这里要称赞一下SREng软件。我的安全模式进不去也是用SREng软件修复的。钟情山水写于2007年5月28日。 2007-05-30 12:15:00
钟情山水初生襁褓狮帖子:3 注册: 2007-05-29 来自:	分享到：

zuitong 初生襁褓狮帖子:3 注册: 2006-10-24 来自:	发表于： 2007-05-29 19:39 \| 短消息资料字号：小中大 2楼我终于有救了
zuitong 初生襁褓狮帖子:3 注册: 2006-10-24 来自:

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-05-29 19:41 \| 短消息资料字号：小中大 3楼病毒建立了另外一个文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.dll，顺便删除。这点不知道您是怎么删除这个是重点,事实上难杀全部都是由于这个插入进程`````
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-29 20:49 \| 短消息资料字号：小中大 4楼呵呵！！！！啥时也试试。找个毒释放一下。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

xiaobin083 初生襁褓狮帖子:3 注册: 2007-05-29 来自:	发表于： 2007-05-30 09:06 \| 短消息资料字号：小中大 5楼强!顶一下.我中的毒和你一样啊!有救了
xiaobin083 初生襁褓狮帖子:3 注册: 2007-05-29 来自:

xiaobin083 初生襁褓狮帖子:3 注册: 2007-05-29 来自:	发表于： 2007-05-30 10:01 \| 短消息资料字号：小中大 6楼我怎么看不病毒文件啊!隐藏的其他文件都能看到.
xiaobin083 初生襁褓狮帖子:3 注册: 2007-05-29 来自:

钟情山水初生襁褓狮帖子:3 注册: 2007-05-29 来自:	发表于： 2007-05-30 11:28 \| 只看楼主短消息资料字号：小中大 7楼【回复“zuitong”的帖子】启动项关联到C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe，并不是用rundll32指向这个05AE9FE4.dll。不知道为什么05AE9FE4.exe不能删除，而能够被更改文件名。病毒文件被更改文件名后，重新启动成了僵尸。我记得当时就删掉了文件05AE9FE4.dll。重新启动后，把所用病毒文件都删除了。由于启动项不是关联到05AE9FE4.dll，即使当时删除不掉05AE9FE4.dll，重新启动后也可以删除的。
钟情山水初生襁褓狮帖子:3 注册: 2007-05-29 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-30 11:54 \| 短消息资料字号：小中大 8楼【回复“钟情山水”的帖子】目前为止，见过worm.pabugN个变种了。用IceSword灭，操作比楼主的方法简捷。说“IceSword不能删除此毒文件”者——————没注意这个病毒的特点。杀毒，要找它的“软肋”。其实，这个病毒表面上看比较难杀。实际上.....
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-05-30 12:02 | 短消息资料

字号：小中大 9楼

引用:

【baohe的贴子】【回复“钟情山水”的帖子】
目前为止，见过worm.pabugN个变种了。
用IceSword灭，操作比楼主的方法简捷。
说“IceSword不能删除此毒文件”者——————没注意这个病毒的特点。
杀毒，要找它的“软肋”。
其实，这个病毒表面上看比较难杀。实际上.....
………………

前晚收到的一个样本,用IS一样删除不掉`后检测也没驱动级保护

只能用UL删除掉了``汗一个``

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-05-30 12:03 | 短消息资料

字号：小中大 10楼

引用:

【孤独更可靠的贴子】

前晚收到的一个样本,用IS一样删除不掉`后检测也没驱动级保护

只能用UL删除掉了``汗一个``

………………

请将此样本发到:baohelin@yahoo.com.cn
谢谢！

<<上一主题|下一主题>>

1 / 2 页

跳转页

钟情山水初生襁褓狮帖子:3 注册: 2007-05-29 来自:	发表于： 2007-05-29 19:35 \| 只看楼主短消息资料字号：小中大 1楼我杀灭了强悍的病毒，经验和方法给大家做个参考。我昨天写的，发表在我的博客上了，今天在发到这里，大家看看，欢迎到我的博客做客。http://hi.baidu.com/lyzfx 更改病毒文件名杀掉Worm.Pabug.dc病毒今天遭遇到比较强悍的病毒，和病毒进行了一番较量：一起因病毒是在同事的机器上用U盘考了个文件后出现的，估计是通过U盘传播的病毒。二病毒的表现： 1 把我的瑞星杀毒软件给关掉了，瑞星杀毒软件不能运行。瑞星杀毒不能打开，也不能卸载，也不能重新安装。进入瑞星杀毒安装界面就被病毒关掉进程了。 2 不能显示隐藏文件。不能更改菜单－工具－文件夹选项－查看－隐藏文件和文件夹，显示所有文件和文件夹不起作用。 3 超级兔子魔法设置打不开。超级兔子魔法设置也不能运行。能卸载和重新安装，但是打不开，软件不能运行。 4 有好多软件工作不正常，不能运行，一闪而过。 5 上网，浏览器搜索引擎中如果出现敏感字眼，比如病毒，杀毒，瑞星，等等，浏览器马上关闭。 6 我把我正版的瑞星杀毒2007拷贝到我的硬盘上了，打开杀毒软件安装盘的目录，也会马上关闭。 7 好多软件里不能出现诸如病毒之类的字眼，否则立即关闭。 8 安全模式也进不去了，开机按F8键不能进入安全模式。三应对 1 由于WINDOWS的资源管理器不能显示隐藏文件，于是用外部软件ACDSee的资源管理器打开硬盘，ACDSee可以查看到隐藏属性的文件。发现除了系统盘C：以外的几个硬盘，在根目录下多了两个隐藏文件：05AE9FE4.exe和AutoRun.inf。用记事本查看AutoRun.inf的内容如下： [AutoRun] open=05AE9FE4.exe shell\open=打开(&O) shell\open\Command=05AE9FE4.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=05AE9FE4.exe 利用自动运行来运行病毒，具有U盘病毒的特征。 05AE9FE4.exe和AutoRun.inf两个文件可以删除，但删除后马上有会再次出现。由于不能确定病毒感染的程度，所以重装系统也不一定有用。 2 用系统配置实用程序查看启动项，没有发现问题。用WINDOWS任务管理器查看进程，没有发现可疑的进程，终止掉大部分进程，也不能禁止病毒的进程。用优化大师的进程管理器也不能发现是哪个进程的问题。 3 用我的感染病毒的机器上网，寻找答案，IE浏览器被病毒控制，不能搜索出答案。键入病毒杀毒瑞星等等，浏览器马上被关闭。另外找了台机器，上网，搜索关键词“瑞星杀毒软件不能运行”，参照网友的方法，在我的机器上做如下试验：在桌面上新建两个文件夹，命名为 05AE9FE4.exe和AutoRun.inf。右键点复制。用ACDSee软件的资源管理器打开硬盘，删除硬盘根目录下的两个文件05AE9FE4.e xe和AutoRun.inf后，马上右键点粘贴，把两个空文件夹粘贴进去，用两个空文件夹代替两个隐藏的病毒文件。病毒发觉文件被删除，也建立不了新的病毒文件，因为文件名相同，病毒文件无法复制进来了（在同一目录下，如果存在一个文件夹，再想粘贴进来同名的文件时，系统会提示存在文件名相同的文件或文件夹，无法粘贴）。用相同的方法，把除了系统盘以外的几个硬盘根目录下的病毒文件全部替换。下面要找出病毒真正的藏身之处。在我的电脑中全部禁用系统还原。清除网页地址。Internet浏览器属性－常规－Internet临时文件－清除临时文件，清除历史记录。下载SREng软件，病毒对SREng软件也是敏感的，一开始， SREng软件被关闭了好几次。我把SREng软件改名（例如可以改名为3322.com的形式），在打开的瞬间，赶快点击启动项目选项卡，SREng软件终于可以稳住了。用SREng软件终于查到一个启动项，关联到C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe，这就是真正隐藏的病毒了，终于找到病毒的老窝。删除这个启动项，马上又建立了一个。删不掉。删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe这个文件，提示文件正在使用，无法删除。试着更改文件的属性，去掉隐藏属性，成功，马上重命名文件为05AE9FE46666.exe，成功。病毒建立了另外一个文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.dll，顺便删除。查看删不掉的启动项，关联的文件名还是C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe没有改变，马上重新启动系统，病毒的症状消失，被更名后的病毒成了僵尸。删除掉病毒文件，删除病毒建立的启动项。可以查看隐藏文件，超级兔子魔法设置可以启动了，瑞星杀毒软件还是不能启动。删除后重新安装瑞星杀毒，提示病毒基本库安装错误，继续安装完成后，瑞星杀毒不能运行。安装卸载反复几次，瑞星就是不能正常工作。安装过程中提示有错误，安装完成后，不能自动启动，双击Rav.exe文件，提示系统找不到文件D:\Siring\Rav\Rav.exe。记得我在病毒工作的时候，打开过几次瑞星杀毒软件所在的目录，都是一闪而过，被病毒关掉了，并且病毒在D：盘的根目录下建立了一个隐藏文件，记录了瑞星杀毒软件的一些基本信息（病毒建立的文件被我删除了，忘了记录文件名和内容，只记得文件里面有记录了瑞星杀毒软件的文件夹位置等信息）。想到病毒是不是向注册表里写了什么东西，禁止瑞星的正常运行或重装。于是彻底卸载瑞星杀毒，重新启动系统，用优化大师清理了注册表，重新安装瑞星软件，并更改了安装目录文件夹名为“D:\瑞星杀毒\瑞星”，到此，瑞星杀毒安装成功。上网，更新病毒库，杀毒，又在C:\Documents and Settings\***\Local Settings\Temp\下发现05AE9FE4.exe文件，报告是Worm.Pabug.dc病毒，还在C:\windows\Help下发现文件名为05AE9FE4.chm的病毒。上网搜索05AE9FE4.exe没有搜索结果，估计05AE9FE4字符串是随机产生的。删除两个病毒后，杀毒结束。四总结：通过更改病毒文件名，使系统重新启动时不能关联病毒，把病毒变成僵尸，终于杀掉病毒。杀毒软件在病毒面前好像不堪一击，最后连重新安装都困难。可见杀毒软件还要加强。 Worm.Pabug.dc是Worm.Pabug病毒的最新变种，病毒随机生成8位数的病毒文件名，无法按病毒的文件名来查杀病毒。只能查看启动项来杀灭病毒，这里要称赞一下SREng软件。我的安全模式进不去也是用SREng软件修复的。钟情山水写于2007年5月28日。 2007-05-30 12:15:00
钟情山水初生襁褓狮帖子:3 注册: 2007-05-29 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 我杀灭了强悍的病毒，经验和方法给大家做个参考。

我杀灭了强悍的病毒，经验和方法给大家做个参考。

我杀灭了强悍的病毒，经验和方法给大家做个参考。

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛我杀灭了强悍的病毒，经验和方法给大家做个参考。