瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 IEFO劫持的最新变种--猫叔是否处理到了?

1   1  /  1  页   跳转

IEFO劫持的最新变种--猫叔是否处理到了?

收藏
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-10 17:12 | 只看楼主 短消息 资料
字号: 1楼

IEFO劫持的最新变种--猫叔是否处理到了?

今天,又有MM要我远程下她电脑,远程后发现这个似乎也是IEFO劫持类的病毒,禁止使用任何带杀毒字样的文件运行,那位MM找朋友在安全模式下装了NOD,成功安装了,原来是卡巴,树大招风啊,没接招就被病毒架空了,DLL全部被注销了...

在安全模式杀了两个病毒,正常模式可以在显示所有文件的前提下,发现一个注册表文件,名字是AUTORUN,右键编辑,里面内容为空,一个可执行文件xywrebh.exe,发现一个AUTORUN文件夹,打开可以看到还有个带数字的AUTORUN文件夹,还发现几个脚本程序,以及名字均为AUTORUN的TXT文件,由于主病毒程序已经被NOD杀死,AUTORUN文件里面的内容也已经全部为空,遂动手删除每个盘下生成的那几个文件,另在C:\Program Files\Common Files\Microsoft Shared\文件夹里发现一个MSOCache(隐藏文件)文件,属性看后发现创建日期为1980年....汗...

知道那是病毒文件,决定删除,发现文件正在调用,无法删除.....

AUTORUN文件夹删除提示,系统找不到AUTORUN文件夹....明明就是在那...

用冰刃强制删除,没一会就莫名重新启动了.........

想用注册表导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options看看键值,却发现运行被重定向了--开始--运行,就弹出了个IE,里面是征途网站,由于是远程,没能确认那网站是否带病毒....

只能用冰刃删除了那HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键值,由于那MM是校园网,特别卡,就处理到那步

请教猫叔,如何把那重定向弄掉啊?
最后编辑2007-06-10 17:53:23.060000000
分享到:
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2007-06-10 17:20 | 短消息 资料
字号: 2楼

MS这个简单点.安全模式也都能进!
gototop
 
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-10 17:25 | 只看楼主 短消息 资料
字号: 3楼

前天处理的那位安全模式不能用了,进入就蓝屏,有修复工具吗?能修复安全模式的方法提供下呢?还有,我的版本似乎没安全模式--->汗...
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:26 | 短消息 资料
字号: 4楼

引用:
【逍遥浪子45的贴子】今天,又有MM要我远程下她电脑,远程后发现这个似乎也是IEFO劫持类的病毒,禁止使用任何带杀毒字样的文件运行,那位MM找朋友在安全模式下装了NOD,成功安装了,原来是卡巴,树大招风啊,没接招就被病毒架空了,DLL全部被注销了...

在安全模式杀了两个病毒,正常模式可以在显示所有文件的前提下,发现一个注册表文件,名字是AUTORUN,右键编辑,里面内容为空,一个可执行文件xywrebh.exe,发现一个AUTORUN文件夹,打开可以看到还有个带数字的AUTORUN文件夹,还发现几个脚本程序,以及名字均为AUTORUN的TXT文件,由于主病毒程序已经被NOD杀死,AUTORUN文件里面的内容也已经全部为空,遂动手删除每个盘下生成的那几个文件,另在C:\Program Files\Common Files\Microsoft Shared\文件夹里发现一个MSOCache(隐藏文件)文件,属性看后发现创建日期为1980年....汗...

知道那是病毒文件,决定删除,发现文件正在调用,无法删除.....

AUTORUN文件夹删除提示,系统找不到AUTORUN文件夹....明明就是在那...

用冰刃强制删除,没一会就莫名重新启动了.........

想用注册表导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options看看键值,却发现运行被重定向了--开始--运行,就弹出了个IE,里面是征途网站,由于是远程,没能确认那网站是否带病毒....

只能用冰刃删除了那HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键值,由于那MM是校园网,特别卡,就处理到那步

请教猫叔,如何把那重定向弄掉啊?
………………

给个样本吧!老大!
我怎么跟乞丐似的
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-10 17:30 | 短消息 资料
字号: 5楼

以前一个遇到个``

特殊文件夹保护的``

比较新颖的玩意``

rd /s /q X:\runauto...\

就可以了``

也可以用UL`````
gototop
 
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-10 17:37 | 只看楼主 短消息 资料
字号: 6楼

大哥们,实在是我也想那样本啊,但可恶的NOD硬是在我之前就强制杀死了那家伙....我去的时候就剩空壳了,连AUTORUN里面的东西也全部清理干净了........重定向的那征途网站不知道有没有病毒那...
似乎那病毒作者没有破坏系统的意思,连安全模式都没破坏,轻易就被杀死了,我猜测如果那征途网站是真的网站地址的话,那么一定是个痴迷游戏的家伙写的...或者是征途游戏的网站为了提高访问量故意放出来的那病毒.....
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:41 | 短消息 资料
字号: 7楼

引用:
【逍遥浪子45的贴子】大哥们,实在是我也想那样本啊,但可恶的NOD硬是在我之前就强制杀死了那家伙....我去的时候就剩空壳了,连AUTORUN里面的东西也全部清理干净了........重定向的那征途网站不知道有没有病毒那...
似乎那病毒作者没有破坏系统的意思,连安全模式都没破坏,轻易就被杀死了,我猜测如果那征途网站是真的网站地址的话,那么一定是个痴迷游戏的家伙写的...或者是征途游戏的网站为了提高访问量故意放出来的那病毒.....
………………

NOD已经干掉它啦?
样本——————没什么指望了
gototop
 
C灬覇ヤ盜﹏
头像
初生襁褓狮
  • 帖子:83
  • 注册: 2007-01-09
  • 来自:
发表于: 2007-06-10 17:46 | 短消息 资料
字号: 8楼

大哥,想求助的话,不必把样本删了吧。
楼上的,您讲的真准确!
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-10 17:53 | 短消息 资料
字号: 9楼

引用:
【C灬覇ヤ盜﹏的贴子】大哥,想求助的话,不必把样本删了吧。
楼上的,您讲的真准确!
………………

他还用求助??????

他那是向猫猫讨教东西呢。

呵呵!!!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT