瑞星卡卡安全论坛

只能呆在这里——

附件: 155847200686203012.jpg

谢谢baohe版主.

我的好象也是这个病毒 怎么弄啊


我的邮箱可以帮我一下吗.  lingsui0000@163.com.cn

附件: 34737720068785301.jpg

【回复“零碎”的帖子】我们发的是病毒样本,怎么?你要么??
解决方法我已经帖出来了

这个文件运行后就调用下面的几个文件,然后就自己关闭了~~
cmd.exe
net.exe
net1.exe

调用它们的目的就是下载顶帖上说的那个马吗?

当然,这只是一个下载器,下载了C:\win30.exe后,就把任务交给它了.
cmd与net只是注册服务用的

这东西好聪明啊 知道利用DOS来个来无终去无影
可是就是有些"有心人"往往被拿去实验试了
哎,防的了电脑防不住人啊

确切地说,应该是自启动批处理

有个问题?
为什么这个new123.sys 进入我的电脑,却没有运行?
如你所说,下载下win30.exe后,允许它执行,它就创建了一个全局钩子(如下图)





然后就没有动静了~~
也没有看到这个驱动有动作~~
但我到C:\Program Files\Internet Explorer\PLUGIN下却看到这个驱动已经在这里了~
在Autoruns里也没有看到这个驱动?
难道它必须要重启后才能有用吗?(我是在影子里测试的~~一旦重启,就什么都没了~~)
另附上其它图几张~









因为这个驱动没有加载,所以,我很轻易的删除了它们(只是不知道它在注册表里到底还有没有什么动作,~~)

哎

瑞星咋就能卖钱哩?

呵呵,中了,中了,我也中了,瑞星对这个确实不好使,new123.sys让我手动删除了,还有歌new123.dll,暂时还没动~`y

引用:

【黑灯黑火的贴子】有个问题? 为什么这个new123.sys 进入我的电脑,却没有运行? 如你所说,下载下win30.exe后,允许它执行,它就创建了一个全局钩子(如下图) 然后就没有动静了~~ 也没有看到这个驱动有动作~~ 但我到C:\Program Files\Internet Explorer\PLUGIN下却看到这个驱动已经在这里了~ 在Autoruns里也没有看到这个驱动? 难道它必须要重启后才能有用吗?(我是在影子里测试的~~一旦重启,就什么都没了~~) 另附上其它图几张~ 因为这个驱动没有加载,所以,我很轻易的删除了它们(只是不知道它在注册表里到底还有没有什么动作,~~) ………………

我也是在影子下测试的.
因为PG拦截了它的全局钩子,导致没有感染完全.

在测试过程中,除了底层访问外,都应该允许,这样才能看出木马都做了些什么

IS的图中,红字的表示有问题

引用:

【闪电风暴的贴子】 我也是在影子下测试的. 因为PG拦截了它的全局钩子,导致没有感染完全. 在测试过程中,除了底层访问外,都应该允许,这样才能看出木马都做了些什么 ………………

所以,我个人不建议使用PG来监控,相反,SSM569版倒不错,比SSM580的监控详细得多

楼主你好 我的电脑中了Trojan.PSW.QQGame.l 名字的病毒 我用瑞星查出来的可是怎么都删不掉,都郁闷死我了... 一开机就有 能帮我看下日志吗?可以的话我就把日志贴到你的帖子里来 谢谢

幸好没有````````````

引用:

【飞起来的大卡车的贴子】楼主你好 我的电脑中了Trojan.PSW.QQGame.l 名字的病毒 我用瑞星查出来的可是怎么都删不掉,都郁闷死我了... 一开机就有 能帮我看下日志吗?可以的话我就把日志贴到你的帖子里来 谢谢 ………………

最好自己开个帖

恩 开了 你去看下啊 等

【回复“飞起来的大卡车”的帖子】
地址

快点

支持  学习中``

还在学习?

哎``当然了 就我这水平 要学的还多哦`

呵呵~