【原创】杀了一个狡猾的“病毒” - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】杀了一个狡猾的“病毒”

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【原创】杀了一个狡猾的“病毒”

赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:	发表于： 2006-12-29 08:04 \| 只看楼主短消息资料字号：小中大 1楼【原创】杀了一个狡猾的“病毒” 机器在不打开浏览器或QQ或QQ任一款游戏时，一切正常，否则，几分钟后就变的反应很慢。此时，打开任务管理器发现cpu占用100%，而且主要被QQ游戏进程占用。用瑞星（包括卡卡）、白猫、wondows清理、secanalyst等都检查不出任何异常。试用木马克星检查，提示有可疑文件flash9b.ocx，路径是c：\wondows\system32\macromed\flash9b.ocx。发现这个文件夹里几乎都是flash字样的文件。删除flash9b.ocx（可以删除），运行QQ仍无改善。用Iecword查看QQ游戏进程，发现其中有c：\wondows\system32\macromed\flash9b.ocx线程，强行去除，又去注册表搜索flash9b.ocx项、值，竟然都不允许改写和删除。原来该注册项下本用户的权限被设置成只能“查看”。更改权限后删除所有c：\wondows\system32\macromed\flash9b.ocx键值，并一怒之下删除了c：\wondows\system32\macromed文件夹！运行QQ游戏，进入大厅就提示是否安装“adobe flash player”控件，看来就是它惹的祸,选择了永不安装！运行一切恢复正常。（该控件安装文件估计导致了macromed中有flash.ocx和flash9.ocx ）. 不知是否错怪了flash9b.ocx？各位是否有这种情况？ 2006-12-30 08:43:42.903000000
赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:	分享到：

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-12-29 08:07 \| 短消息资料字号：小中大 2楼垃圾就是垃圾，可以理解，连桌面都报毒，何况flash控件乎？
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-12-29 08:18 \| 短消息资料字号：小中大 3楼卸载flash控件还要用冰刃？附件: 文件名:7174192006122980958.JPG 下载次数:263 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-29 8:18:57 描述:
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:	发表于： 2006-12-29 08:36 \| 只看楼主短消息资料字号：小中大 4楼估计以前就卸载了flash控件，因为我在＂添加＼删除＂那里没发现有它，看来是卸载不完全（也可能是用它自身程序卸载的，汗）但不知正常的卸载flash控件里有ｆｌａｓｈ９ｂ．ｏｃｘ吗？我的是中了捆绑吧？
赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-12-29 08:39 \| 短消息资料字号：小中大 5楼贴个我的日志一段，自己看吧 [PID: 2936][D:\MyIE2\MyIE.exe] [, 0, 7, 1240, 0] [C:\Herosoft\HeroV8\VCvtShell.dll] [herosoft, 1, 0, 0, 1] [C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 7] [C:\Program Files\Rising\Rav\RavScrCh.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4] [C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx] [Adobe Systems, Inc., 9,0,28,0]
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

4Kings 初生襁褓狮帖子:173 注册: 2006-12-28 来自:	发表于： 2006-12-29 08:42 \| 短消息资料字号：小中大 6楼楼主我要那个flash9b.ocx 谢谢
4Kings 初生襁褓狮帖子:173 注册: 2006-12-28 来自:

爱亦随风初生襁褓狮帖子:35 注册: 2006-12-04 来自:	发表于： 2006-12-29 09:20 \| 短消息资料字号：小中大 7楼 Flash9b.ocx是ie加载项删除他干什么? 这也叫病毒,,晕~~! 你就等着浏览器提示“Flash9b.ocx"Activex控件加载时出错吧
爱亦随风初生襁褓狮帖子:35 注册: 2006-12-04 来自:

afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:	发表于： 2006-12-29 10:35 \| 短消息资料字号：小中大 8楼是假冒的？以前见过冒充8的不是现在换9的了假的也升级了
afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:

赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:	发表于： 2006-12-30 07:34 \| 只看楼主短消息资料字号：小中大 9楼谢谢大家关注，刚来，回复一下坛友：水树雨下：１、我的那个进程是在打开QQ相关程序时或打开浏览器时才出现（打开浏览器时没验证是否出现它，但此时长期出现cpu占用率100%的情况，和打开QQ相关程序时类似，我推断出的），而且和你的那个有点小区别，你的是C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx，我的是C:\WINDOWS\System32\Macromed\Flash9b.ocx（注册表win32项等4处的键值也是这个）。另外，你的在myie.exe进程下，我的在qqgame.exe进程下而且这个进程长期至少占用cpu65%以上。 2、我用木马克星5.51扫描C:\WINDOWS\System32\Macromed文件夹，报出有可疑文件Flash9b.ocx，你用克星检查一下是否也报毒？
赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:

赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:	发表于： 2006-12-30 07:42 \| 只看楼主短消息资料字号：小中大 10楼回复4Kings：你要的是我机器上的flash9b.ocx 文件还是从网上想下载它？如果要我机器里的flash9b.ocx ，还好，我虽然删除了，但我做了备份，你给我地址，我发给你，呵呵。如果要的是正常文件，可以从网络下载它，我想凡是会用电脑的，都可以很容易地办到。
赤日炎炎快乐黄口狮帖子:222 注册: 2006-09-12 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT