gdisvc.jpg及其查杀

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 gdisvc.jpg及其查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-03-24 16:31 \| 只看楼主短消息资料字号：小中大 1楼 gdisvc.jpg及其查杀此毒貌似是利用系统某漏洞的DD（MD5见图1）。全补丁系统不会中招。将gdisvc的后缀.jpg改为.exe才能运行。释放的病毒文件见图2。瑞星20.37不报毒。借助IceSword的手工杀毒流程： 1、禁止进程创建。结束病毒进程： C:\Program Files\Common Files\system\ntserv.exe C:\Program Files\Common Files\Miceosoft Shared\VGX\services.exe 2、删除病毒文件（图2） 3、清理注册表（1）展开：HKLM\System\CurrentControlSet\Services 删除：Print Service（指向c:\windows\system32\honey\honeymain.exe）（2）展开：HKLM\System\CurrentControlSet\Services 删除：HideFile（指向c:\windows\system32\honey\honeysys.dat）图1 [用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn) 附件: 文件名:1558472008324161918.jpg 下载次数:263 文件类型:image/pjpeg 文件大小: 上传时间:2008-3-24 16:31:20 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-03-26 00:44:08
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-03-24 16:32 \| 只看楼主短消息资料字号：小中大 2楼图2：应删除的病毒文件附件: 文件名:1558472008324162000.jpg 下载次数:257 文件类型:image/pjpeg 文件大小: 上传时间:2008-3-24 16:32:02 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-03-24 16:53 \| 短消息资料字号：小中大 3楼在哪搞的样本？另外求教：SCManager是个什么服务？我用“搜索”搜WINDOWS xp系统里没有搜到，却见几乎所有的病毒运行都要打开这个服务，如打不开，大多歇菜。（找个图示例）：附件: 文件名:6521242008324164437.jpg 下载次数:233 文件类型:image/pjpeg 文件大小: 上传时间:2008-3-24 16:53:58 描述:
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

大版主

发表于： 2008-03-24 17:31 | 只看楼主 短消息资料

字号：小中大 4楼

引用:

【两个铁球的贴子】在哪搞的样本？

另外求教：SCManager是个什么服务？我用“搜索”搜WINDOWS xp系统里没有搜到，却见几乎所有的病毒运行都要打开这个服务，如打不开，大多歇菜。

（找个图示例）：
………………

http://topic.csdn.net/t/20040607/09/3069358.html
自己看吧。
我不懂。

叱咤花甲狮

发表于： 2008-03-24 17:39 | 短消息资料

字号：小中大 5楼

引用:

【baohe的贴子】
http://topic.csdn.net/t/20040607/09/3069358.html
自己看吧。
我不懂。
………………

谢了！！！！！！！！！！！！！
正在看，确实是我要的解答。不愧是斑竹，办法多！

大版主

发表于： 2008-03-24 17:53 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【神龙飞天的贴子】瑞星20.37.01对它有查杀作用吗？
………………

依然不报。
样本已经交给麦青儿

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-03-24 22:10 \| 短消息资料字号：小中大 8楼帮发个:kxsystem@163.com
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-03-24 16:31 \| 只看楼主短消息资料字号：小中大 1楼 gdisvc.jpg及其查杀此毒貌似是利用系统某漏洞的DD（MD5见图1）。全补丁系统不会中招。将gdisvc的后缀.jpg改为.exe才能运行。释放的病毒文件见图2。瑞星20.37不报毒。借助IceSword的手工杀毒流程： 1、禁止进程创建。结束病毒进程： C:\Program Files\Common Files\system\ntserv.exe C:\Program Files\Common Files\Miceosoft Shared\VGX\services.exe 2、删除病毒文件（图2） 3、清理注册表（1）展开：HKLM\System\CurrentControlSet\Services 删除：Print Service（指向c:\windows\system32\honey\honeymain.exe）（2）展开：HKLM\System\CurrentControlSet\Services 删除：HideFile（指向c:\windows\system32\honey\honeysys.dat）图1 [用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn) 附件: 文件名:1558472008324161918.jpg 下载次数:263 文件类型:image/pjpeg 文件大小: 上传时间:2008-3-24 16:31:20 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-03-26 00:44:08
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：