瑞星卡卡安全论坛

请看帖的朋友先不要回帖，让我贴完9张图片再发表意见讨论，以保持贴图的连续性，谢谢！
－－因为昨天凌晨杀毒时误删了部分系统文件和注册表项，不得不将系统还原到11月11日。今早开机重新进行剿杀，首先检查【服务】，发现EnvSec已经处于“已启动.自动”状态，将其关闭禁用后，就开始了轻车熟路的杀毒操作。（前两帖子已有表述，省略）
剿杀完毕后，重新检查【服务】，发现envsec栏里的描述、状态、启动类型等项已是一片空白，只剩下孤零零的envsec7个英文字母了。心中不由暗喜。
下午开机，想起那个可疑的IEDown class文件和rover.acs文件还没有斩草除根（总是无法删除），遂再次打开注册表，输入IEDown class进行搜索，结果让我大吃一惊－－居然发现了A0005900和A0005901的影踪！而前天我也曾在注册表里输入A0005900搜索过，没有任何发现。晕。
删除掉5604子键值后，为求得老师们的指导、全面消灭此超级病毒起见，就没进行其他的剿杀操作了。退出后再次检查【服务】，发现EnvSec项已经消失，仔细检查所有的服务项，没发现任何可疑之处。
接着打开资源管理器，输入A0005900\A0005901\A0005900.EXE等名称搜索半个小时，没有收获。不甘心，遂按照寿宁老师说过的路径打开那个系统还原文件夹（我的是C盘和D盘里有）进行手工查找。耗费近一个小时后，还是没有发现。
忙了整个一下午，唯一的收获是那个rover.acs文件莫名其妙的又可以删除掉了。
请教两位老师和众高手们，我下一步该怎么对付这牛人创造的牛毒啊？


附件: 59089920051118200753.JPG

2.

附件: 59089920051118195606.JPG

3.

附件: 59089920051118195855.JPG

4.

附件: 59089920051118195928.JPG

5.

附件: 59089920051118200001.JPG

6.

附件: 59089920051118200038.JPG

7.

附件: 59089920051118200113.JPG

8.

附件: 59089920051118200313.JPG

9.

附件: 59089920051118200400.JPG

今天能够发现A0005900,应该是和我安装了最新版本的规则包有关系。

MM真有耐心，是偶就重装系统了，看的偶头晕眼花的~~~~~~~~

附件: 57308220051118203932.gif

引用:

【爱我就跟我走的贴子】MM真有耐心，是偶就重装系统了，看的偶头晕眼花的~~~~~~~~ ...........................

熊＋猫：偶现在就怕是盗版系统盘里带来的原装正版病毒哩！
不说了，还没吃晚饭呢！88

还有我的两张，有一张里面发现了Aooo5901.exe,怎样解决，寿宁和网警两位老师来分析分析。

附件: 39816020051118211752.bmp

第二

附件: 39816020051118212046.bmp

引用:

【爱我就跟我走的贴子】MM真有耐心，是偶就重装系统了，看的偶头晕眼花的~~~~~~~~ ...........................

呵呵……偶有同感

楼主的电脑是不是变成黑客的肉鸡了?
所有新木马都在你电脑里出现了,希望寿宁老师他们
早日帮你解决问题.

美眉你既然对病毒穷追不舍，就进瑞星公司算了。将来一定成为病毒杀手。
呵呵……

引用:

【C++果冻的贴子】美眉你既然对病毒穷追不舍，就进瑞星公司算了。将来一定成为病毒杀手。 呵呵…… ...........................

这个主义不错哦，MM可以考虑考虑

引用:

【清风2099的贴子】还有我的两张，有一张里面发现了Aooo5901.exe,怎样解决，寿宁和网警两位老师来分析分析。 ...........................

最新规则包可以阻拦Aooo****.exe感染系统，如果在加载最新规则包前已经受感染的系统，在加载规则包后也可切断Aooo****.exe的运行通道！
因此，你如果已经加载了规则包，那么你可以大胆地删除Aooo****.exe文件（程序），当然也还可以仿造“漂亮妹妹”的做法检查一下系统。

【回复“漂亮妹妹1989”的帖子】
如果你是在最新规则包分布前发现这个情况，那么我就可以再奖给你一个正版的软件了，呵呵。
继续努力吧。

在注册表中查找？我倒是忘记了。晕，立即找一下

寿宁的软件恐怕将来都要被这个美眉拿走了

系统还原根本没用处

路过...看了各位的截图,发现大家好象对HKEY_CURRENT_USER\Software\Microsoft\Search Assistant这个注册表路径有点误解
这里的键值所显示的的都是各位在电脑上搜索过的文件名,并不代表你电脑里有这个文件(病毒?)....
楼下继续,祝大家找到病毒...

附件: 48338220051118234048.JPG

不对吧??按照楼上提供的路径,我认真找了一下没有啊!!(红笔标记的原搜索的东西).楼上的系统是WINDOWS-XP-SP2吗??

引用:

【hellokiddy的贴子】路过...看了各位的截图,发现大家好象对HKEY_CURRENT_USER\Software\Microsoft\Search Assistant这个注册表路径有点误解 这里的键值所显示的的都是各位在电脑上搜索过的文件名,并不代表你电脑里有这个文件(病毒?).... 楼下继续,祝大家找到病毒... ...........................

是啊 这些都是你曾经搜索过的搜索纪录啊！

各位 关注23楼的 东西
这个帖子置顶讨论

引用:

【昨天的兵的贴子】不对吧??按照楼上提供的路径,我认真找了一下没有啊!!(红笔标记的原搜索的东西).楼上的系统是WINDOWS-XP-SP2吗?? ...........................

我的是SP1的,其实那个路径我也才刚刚弄懂,只要你用系统自带的搜索功能搜索过文件,你就发现在那个路径下显示你所搜索的文件名!不过有些优化软件会把这个路径给禁用(因为这个路径会暴露你的使用电脑的痕迹(所谓的隐私)~~).

还有楼主提到的rover.acs这个文件应该是对应Search Assistant(XP搜索助手)的,应该是正常的吧?

附件: 48338220051119105240.JPG

偶按照23楼的说法试了一下，在系统中搜索文件确实会出现在HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603中，但在注册表编辑器里搜索是不会出现的，希望23楼的朋友对查杀病毒给点意见，谢谢 偶的是sp2的
补充一句，那我们是不是可以把5603中的文件都删除呢？（除了第一个）

感谢hellokiddy对菜鸟的热情指点！
我的是SP2系统。但是在上一次查杀过程中，fe7zf或envsec注册项是在HKEY_CLASSES_ROOT路径下找到的。（还因此闹了笑话，将ROOT项都给删除了）
chars文件夹确实是对应XP搜索助手的，当初因rover.acs文件始终无法删除，一气之下将整个chars文件夹删除，随后发现系统搜索功能失效。遂还原之。但令我不解的是，昨天查杀完毕后，那个rover.acs文件又可以删除了，且现在搜索功能还可以正常使用。
继续关注、学习中。。。