baohe - 2006-11-30 17:30:00
在这里和剑盟社区都见到有网友反应:按版主帖子介绍的方法(http://forum.ikaka.com/topic.asp?board=28&artid=8220466)不能彻底搞掂tel.xls.exe。
今天有点儿时间,将样本(http://bbs.2dai.com/thread-481162-1-1.html)拿来,
先关闭所有安全软件,然后,在我的本本中运行了一下。
然后,按照http://forum.ikaka.com/topic.asp?board=28&artid=8220466和http://bbs.2dai.com/thread-481903-1-1.html介绍的方法动手杀毒(所用工具略有不同)。
1、删除病毒的加载项。
附件:
15584720061130172206.jpg
baohe - 2006-11-30 17:31:00
2、确认系统程序mmc.exe已经被病毒替换。
附件:
15584720061130172247.jpg
baohe - 2006-11-30 17:32:00
3、尝试用IceSword结束病毒进程mmc.exe。进程无法结束。先结束c:\windows\svchost.exe后,mmc.exe进程才能结束。
附件:
15584720061130172314.jpg
baohe - 2006-11-30 17:32:00
4、用IceSword禁止进程创建,再结束病毒进程。
附件:
15584720061130172338.jpg
baohe - 2006-11-30 17:32:00
5、一一删除病毒文件(我的本本只有C、D两个分区)。
附件:
15584720061130172403.jpg
baohe - 2006-11-30 17:33:00
6、删完病毒文件后,mmc.exe自动复原了。感觉很爽!!
附件:
15584720061130172431.jpg
baohe - 2006-11-30 17:33:00
7、鉴于有人反应:这个mmc.exe感染wuauclt.exe,我删完病毒文件后重启系统,连接网络,运行了一下windows update。汗!!那个病毒文件mmc.exe又回来了。
附件:
15584720061130172502.jpg
baohe - 2006-11-30 17:34:00
8、再用autoruns看看启动项:病毒程序mmc.exe的服务项也回来了!!
附件:
15584720061130172534.jpg
baohe - 2006-11-30 17:34:00
9、在WINDOWS的“安全中心”里关闭windows自动更新,重启系统,再看看进程列表:wuauclt.exe进程还在!!
附件:
15584720061130172604.jpg
baohe - 2006-11-30 17:35:00
10、看来问题确实严重。看看刚才运行过的应用程序吧。IceSword——被感染了。
附件:
15584720061130172642.jpg
baohe - 2006-11-30 17:36:00
baohe - 2006-11-30 17:37:00
12、verclsid.exe——被感染了。
附件:
15584720061130172814.jpg
baohe - 2006-11-30 17:37:00
13、rundll32.exe——被感染了。
附件:
15584720061130172848.jpg
baohe - 2006-11-30 17:38:00
14、Tiny的“管理中心”——被感染了。
附件:
15584720061130172931.jpg
baohe - 2006-11-30 17:38:00
baohe - 2006-11-30 17:40:00
汗!!!!!!!!!!!!!!!!!!
检查了一下ghost.exe的MD5,也变了!
至此,我觉得瑞星将此毒报为蠕虫是有道理的。
接下来,我找了一个干净的ghost.exe,在DOS下替换掉被感染的ghost.exe。然后,运行GHOST,用先前做的C盘备份恢复系统,完事。
恢复完系统,重启后,又用卡巴斯基扫了一下D盘,查出GhostExp.exe也此毒被感染。但卡巴斯基可以清除,GhostExp.exe依然可用。
因此,建议已经中招的朋友,不要指望通过手工将此毒杀净。
还是用杀软吧。卡巴斯基这样的杀软可以清除这个病毒,清除病后,被感染的.exe文件仍然可用。
当然,如果你也有系统的GHOST备份,用GHOST备份恢复系统更省事、省时。但要注意:运行GHOST.EXE前,务必用干净的GHOST.EXE替换掉被病毒感染的GHOST.EXE。否则,你就白忙活了!!
deadmanzj - 2006-11-30 19:09:00
啊。。。真感染啊。。。偶怎么运行又不一样啊。。。
应该是先替换正常文件,再感染,我的文件夹有tiny保护,正常文件没被替换,好象没被感染
猪知山 - 2006-11-30 19:16:00
受伤了
看了就累饿
叶·幽思 - 2006-11-30 19:45:00
最近新出来的病毒都是能感染一批exe文件的.
�火影忍者 - 2006-11-30 20:03:00
学习……
lsoho - 2006-11-30 21:44:00
学习ing,不过手工删病毒比杀软来的舒坦...
laopang - 2006-11-30 22:17:00
mopery - 2006-12-1 4:26:00
清除后没检查..
汗...一会继续测次..希望瑞星能清除干净..
帅的被贼砍 - 2006-12-1 5:21:00
够狠.. 头回见到
不言放弃 - 2006-12-1 10:41:00
| 引用: |
【baohe的贴子】汗!!!!!!!!!!!!!!!!!!
检查了一下ghost.exe的MD5,也变了!
至此,我觉得瑞星将此毒报为蠕虫是有道理的。
接下来,我找了一个干净的ghost.exe,在DOS下替换掉被感染的ghost.exe。然后,运行GHOST,用先前做的C盘备份恢复系统,完事。
恢复完系统,重启后,又用卡巴斯基扫了一下D盘,查出GhostExp.exe也此毒被感染。但卡巴斯基可以清除,GhostExp.exe依然可用。
因此,建议已经中招的朋友,不要指望通过手工将此毒杀净。
还是用杀软吧。卡巴斯基这样的杀软可以清除这个病毒,清除病后,被感染的.exe文件仍然可用。
当然,如果你也有系统的GHOST备份,用GHOST备份恢复系统更省事、省时。但要注意:运行GHOST.EXE前,务必用干净的GHOST.EXE替换掉被病毒感染的GHOST.EXE。否则,你就白忙活了!!
……………… |
大叔
是不是还有其它病毒母体没有解决啊
或许还有插入系统核心进程的DLL文件吧?
与时拒进 - 2006-12-1 14:06:00
强
呖呖呖呖 - 2006-12-1 17:28:00
天!~现在的病毒发展速度远远高于我这菜鸟的学习速度咯!~
jmbt - 2006-12-2 10:35:00
学习
© 2000 - 2026 Rising Corp. Ltd.