瑞星卡卡安全论坛

还是没有收到样本 啊=>kxzhmc500@sina.com

引用:

【闪电风暴的贴子】还是没有收到样本 啊=>kxzhmc500@sina.com ………………

附件: 15584720061112180719.jpg

引用:

【baohe的贴子】 反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项并结束这些程序的进程；重写病毒自己的加载项。 ………………

猫叔好多错别字O

学习下了

没有楼主所说的那么好杀。。。

感染过后的文件可以用李罡版的威金杀毒清一次。。。

ghost.exe染上了。。莫办法。。

该病毒好像已经插入到explorer.exe里面去了。。。

我反反复复杀了好几次。。。

结果登陆时出现未读邮件。。。一点击。。。NND又跑来了。。

此毒好像对服务器版的系统莫多大反应。。

没有楼主所说的那么好杀。。。

感染过后的文件先用批处理清一遍。
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
start c:\up\del.cmd

taskkill /f /im fuckjacks.exe
taskkill /f /im rdpclip.exe
taskkill /f /im SOUNDMAN.EXE
attrib c:\setup.exe -s -r -h
attrib c:\windows\system32\fuckjacks.exe -s -r -h
attrib c:\autorun.inf -s -r -h

del/s/f/q c:\recycled\*.*
del/s/f/q d:\recycled\*.*
del/s/f/q e:\recycled\*.*
del/s/f/q f:\recycled\*.*
del/s/f/q/q c:\windows\Prefetch\*.txt
del/a/s/f/q "C:\Documents and Settings\Administrator\Cookies\*.txt"
del/s/f/q "C:\Program Files\kingsoft\*.*"
c:
cd
del/a/s/f/q c:\myhis\*.exe
del/s/f/q c:\windows\system32\msvce32.exe
del/s/f/q c:\setup.exe
del/a/s/f/q autorun.inf
del/a/s/f/q desktop.ini
del/a/s/f/q _desktop.ini
del/a/s/f/q index.dat
del/a/s/f/q inf02
del/a/s/f/q gamesetup.exe
del/a/s/f/q ghost.exe
后面的根目录自己加。。。



再用用李罡版的威金杀毒清一次。。。

有ghost.exe文件的根目录或文件。。程序都会染上了。。杀不掉。。。莫办法。。

该病毒好像已经插入到explorer.exe里面去了。。。

我反反复复杀了好几次。。。

结果登陆时出现未读邮件。。。一点击。。。NND又跑来了。。

此毒好像对服务器版的系统莫多大反应。。

引用:

【JayFaye的贴子】早上有空，对这个病毒脱了一下壳，OD了一下，更新一点 病毒会搜索进程查找并结束窗口信息中包含如下信息的进程： QQKav QQAV VirusScan Symantec AntiVirus iDuba esteem procs Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword ************************** 同时直接结束如下这些进程（注意最后三个和Viking对上了，呵呵）： Mcshield.exe VstskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe RavmondD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl123.exe ************************** 病毒会删除上面提到的反病毒软件的注册表键值，同时删除雅虎助手的注册表 ************************** 搜索局域网共享，利用暴力破解局域网用户密码方式试图传播自己，成功后将以GameSetup.exe的形式传播 调用Net.exe和Net1.exe删除admin$和IPC$共享 记录键盘，盗取QQ，记录信息会保存到C:\test.txt（同时会记录成功连接的IP共享信息）中 ************************** 感染EXE、SCR、PIF、COM文件，同时删除GHOST备份（*.gho） ………………

太狠了,编这个木马的人什么都想到了...他的意思好象是:威金算什么,我来
居然还删除GHOST的备份......

【回复“艾玛”的帖子】字的颜色改下。

什么时候能不用手工安全清干净饿，这么先进的病毒我还不知是从哪里中的！
好像不止删除备份，还删除杀毒软件的安装程序！！！

引用:

【涅磐86970的贴子】 猫叔好多错别字O ………………

我想猫叔是故意的

连ghost都搞，这人真可恶到了极点，摆明就是想破坏国家资源，降低生产效率，给他定个“破坏社会经济秩序罪”也不为过

想问一下猫叔，这病毒在什么情况下会被感染到？？？

┏━━━━━━━━━━━━━━━━━━━━━━┓
    ┃ 最低月薪800，圈地网招聘资料收集员（兼职）  ┃
    ┗━━━━━━━━━━━━━━━━━━━━━━┛

  打造全新经济模式的兼职平台--圈地网

    圈地网是一个创新的、基于互联网的个人创业基础服务平台，旨在聚合所有网民的业余时间，通过共

同整合互联网资源，为全国超过2500万家的大中小型企业和超过1.1亿的中国网民提供更优质、更方便、

更富创意的服务。

    圈地网采用和会员长久合作的方式，在为企业和社会提供优质服务的同时，也为会员提供一个多劳多

得的事业机会。

    圈地网介入的第一个项目是商业垂直搜索引擎。因为要建立海量的数据库，需要大量的人员在网上收

集和整理企业资料，圈地网诚邀您的加盟。垂直类搜索引擎已成市场所需，蕴藏无限商机，发展空间巨大

！

    圈地网诚邀天下英雄豪杰加入我们的创业队伍，收集、整理和维护数据和资料。圈地网也将为每位参

与的会员提供丰厚的薪酬提成！

    加入条件：有上进心，有合作精神，有业余的空余时间，会简单的电脑操作。
    工作内容：1.按任务在网上搜索指定企业的所有资料。
              2.为公司推荐、储备愿意合作的人才（我们还有许多项目要做）
    加入费用：圈地网郑重承诺：
              1.注册圈地会员是永久免费的。
              2.以后的项目运做过程中，也不收取会员一分钱。
              3.会员注册后，如果不愿意参与，可以随时退出。
    加入方式：请登录http://www.quandi.cn/WebForm1.aspx?quandi_id=mysqld您即可免费注册为会员

。
              注：邀请人ID请填“mysqld”，否则您可能无法注册。
    薪酬计算：1.薪酬制度详见网站介绍。
              2.假设我们以百度向企业收费的十分之一计算，参加合作、完成最基本任务的会员最低月

薪800元，上不封顶，多劳多得。
              3.我们之所以以百度收费的十分之一计算，是因为我们不想用巨大的利益吸引大家，请大

家详细了解后做出选择，因为我们是务实的网站，圈地网需要的是真正做事的人。

有问题请咨询QQ 176470882 或发邮件至woohyuk872000@yahoo.com.cn索取资料。

注意。。！！！此病毒会感染GHO文件。。GHOST还原后一共会有五个文件被感染。。。大家在GHOST还原的时候小心一点。但是这五个文件半天都不会发作。。也许要运行这五个程序文件才会激活。。另发现会感染MSN开机或注销报有未读邮件。~

终于领教了这个家伙了~
运行后,用Icesword都无法结束它的运行(FuckJacks.exe),(尽管它的文件已经被强行删除了,也被禁止运行~)
另,它感染过的文件(如Icesword.exe也被感染了,比原文件大了几十K)我打开的剑是重新解压后又运行的~~晕~
被它感染的文件都变成那个小熊的图标了~~太惨了,基本大部分的查毒软件都是它的人了~~


还有,好像用Icesword查看回收站时,感觉多出不少东西.(不知是不是?)

多谢版主提醒！！学习了
另请教baohe版主，你用的SSM2.2版的是怎样延期的。

学习

引用:

【影子110的贴子】终于领教了这个家伙了~ 运行后,用Icesword都无法结束它的运行(FuckJacks.exe),(尽管它的文件已经被强行删除了,也被禁止运行~) 另,它感染过的文件(如Icesword.exe也被感染了,比原文件大了几十K)我打开的剑是重新解压后又运行的~~晕~ 被它感染的文件都变成那个小熊的图标了~~太惨了,基本大部分的查毒软件都是它的人了~~ 还有,好像用Icesword查看回收站时,感觉多出不少东西.(不知是不是?) ………………

文件保护至关重要。这是Tiny对Program Files文件夹的保护设置。

附件: 15584720061113213459.jpg

【回复“影子110”的帖子】
这是运行FuckJacks.exe前后IceSword的MD5值对比

附件: 15584720061113213627.jpg

【回复“影子110”的帖子】
因为有Tiny的保护（保护整个Program Files文件夹）

附件: 15584720061113213856.jpg

感谢楼主，不过我的电脑中的GHOST被感染，且备份文件真的不见了呢。

昏呀！那么多的英文看了头昏呀！！

【回复“baohe”的帖子】
我的电脑装有两个硬盘．其中一个装有ＸＰ系统，一个没有系统．今天突然发现网络游戏打不开，显示指令不对．就想打开其他软件程序看看，结果一样．虽然显示的不对的指令不一样．但结果都是指令不对．要不就是内存指令不对．后来我打开＂我的电脑＂发现其中硬盘全打不开．左键双击出现指令不对内存不能为什么什么的．后边还有一个小黑框框，里面写着英文我也不知道是什么意思．然后我点确定或是取消，我欲打开的东西都会关闭．我重装了系统也不行．后来我就把那个有系统的硬盘拔了．在那个没装系统的硬盘上又装了一个ＸＰ的系统．结果还是不行．现在我升级瑞性的时候那个蓝条条就差最后２毫米的个距离过了两小时都过不去．还杀不出来毒了．连ＱＱ都不能装了，都是装到最后差那么一点点的时候就不走了．和瑞星升级的时候一样看见文件在动就是不走

学习

作者用熊猫上香图标的含义??????????????????????????????????????????????????????????????????????????????????????

大家有没有试过用ewido anti-spyware是否能清除，单个病毒文件我用ewido anti-spyware能查出病毒，但系统中毒的情况我没试过

很恐怖呀，有什么预防措施呀？

也给我一个样本在虚拟机上玩玩好吗？
xosxon@gmail.com
xosxon@yahoo.com.cn
都可以！
谢谢！

解决不了阿.
请问什么时候可以出专杀工具阿.
中不能都是del掉吧,也太可惜了.

期待专杀工具了哦.

期待尽快哦.

http://forum.ikaka.com/topic.asp?board=28&artid=8210129

希望BAOHE版本看一下