好阴险的winsys16_070211.dll病毒,创建日期回到1987年2月12号!【原创】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛好阴险的winsys16_070211.dll病毒,创建日期回到1987年2月12号!【原创】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

好阴险的winsys16_070211.dll病毒,创建日期回到1987年2月12号!【原创】

安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:	发表于： 2007-02-13 09:39 \| 只看楼主短消息资料字号：小中大 1楼好阴险的winsys16_070211.dll病毒,创建日期回到1987年2月12号!【原创】中毒经历在网上找魔兽争霸的相关问题?点入一个网站,卡巴过一会就自动关闭保护,跳出另外一个网页.感觉不对劲立马关闭网页.手动恢复卡巴的自我保护. 该病毒对电脑进行了以下修改 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070211.dll start> [N/A] 病毒以winsys16_070211.dll文件插入userinit.exe rundll32.exe 方式加载. 插入IE进程,所以只要你一上网就会自动蹦出网页.很烦恼! 就算你把全部IE都关闭, 还是有一个IE进程再运行. C:\WINDOWS\system32下面生成以下文件 C:\WINDOWS\system32\AlxRes070211.exe C:\WINDOWS\system32\ mscandc.ini C:\WINDOWS\system32\ mywebhit.ini C:\WINDOWS\system32\ mywebhit.ini.tmp C:\WINDOWS\system32\ scrsys070211.scr C:\WINDOWS\system32\\winsys16_070211.dll 病毒最狡猾的地方创建时间改成1987年. 附件: 文件名:650440200721393022.jpg 下载次数:238 文件类型:image/pjpeg 文件大小: 上传时间:2007-2-13 9:39:44 描述: 预览信息:EXIF信息 Y Resolution : 72/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop 7.0 JPEG InterLength : 3920 ColorSpace : 65535 Thumbnail Data : 255 JPEG InterFormat : 294 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 850 PixYDim : 632 Orientation : 1 拍摄日期 : 2007:02:13 08:44:55 X Resolution : 72/1 2007-02-13 09:45:20.450000000
安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:	分享到：

安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:	发表于： 2007-02-13 09:40 \| 只看楼主短消息资料字号：小中大 2楼 C:根目录生成一些TMP垃圾文件附件: 文件名:650440200721393134.jpg 下载次数:203 文件类型:image/pjpeg 文件大小: 上传时间:2007-2-13 9:40:57 描述: 预览信息:EXIF信息 Y Resolution : 72/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop 7.0 JPEG InterLength : 4829 ColorSpace : 65535 Thumbnail Data : 255 JPEG InterFormat : 294 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 833 PixYDim : 617 Orientation : 1 拍摄日期 : 2007:02:13 08:41:34 X Resolution : 72/1
安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:

安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:	发表于： 2007-02-13 09:42 \| 只看楼主短消息资料字号：小中大 3楼病毒清除方法参考如下: SRE下载地址: http://www.kztechs.com/sreng/sreng2.zip 冰刃IceSwordv1.20 下载地址: http://www.crsky.com/soft/6947.html 先断网要不然过一会就跳出个网页真麻烦!!!! 打开任务管理器结束IE进程或用冰刃结束IE. 用SRE修改病毒修改的利用DLL文件插入系统文件加载的内容 <Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070211.dll start> [N/A] 把红色这部分删除,(注意userinit.exe后面还有一个逗号的) 最后用冰刃删除以下文件 C:\WINDOWS\system32\AlxRes070211.exe C:\WINDOWS\system32\ mscandc.ini C:\WINDOWS\system32\ mywebhit.ini C:\WINDOWS\system32\ mywebhit.ini.tmp C:\WINDOWS\system32\ scrsys070211.scr C:\WINDOWS\system32\\winsys16_070211.dll D:\ Mplay.com C:根目录下病毒的TMP文件(看图红色框着的那一部分)正常删除提示正常运行,用冰刃即可删除.
安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:

安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:	发表于： 2007-02-13 09:45 \| 只看楼主短消息资料字号：小中大 4楼用冰刃删除winsys16_070211.dll这个文件找起来很麻烦. 用系统自带的搜索可以很快找到这个文件. 按照下图红框里的勾上.就可以搜索到该隐藏文件附件: 文件名:650440200721393558.jpg 下载次数:176 文件类型:image/pjpeg 文件大小: 上传时间:2007-2-13 9:45:20 描述: 预览信息:EXIF信息 Y Resolution : 72/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop 7.0 JPEG InterLength : 5501 ColorSpace : 65535 Thumbnail Data : 255 JPEG InterFormat : 294 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 633 PixYDim : 602 Orientation : 1 拍摄日期 : 2007:02:13 08:37:41 X Resolution : 72/1
安全防卫飘泊而立狮帖子:699 注册: 2006-01-14 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT