瑞星卡卡安全论坛

你详细的。。。能看明白。。。学习了。。。。。

看不懂啊！学习ing

我是新手啊好多都不懂

前两天得了个国宝整死我了，现在又出了个这东东，苦~`

关于结束进程的问题。
在安全模式下,可直接通过在WINDOWS任务管理器,用结束进程树的方法结束SEVERE.EXE ;CONIME.EXE ;gfosdg.exe ; mpnxyl.exe
很省事的!!!

分析的好祥细啊,不过你说的病毒不知有没有跟共享端口有联系,我想切断一些传播外界的途径才是首要的,我在你的分析中,我没看到你禁用了哪些端口?有可能我没看到``````````


还有一个问题,既然是手动杀毒,为什么你的机子还装了两个杀软(卡巴和瑞星)????????

我有个疑问啊，希望版主能够看到此回复，谢谢了啊~~

  头一阵子俺朋友中过这个病毒，为啥进入的安全模式，你们说的那些进程却仍然存在呢？结束都结束不了，熬熬郁闷！
  这个病毒是怎么弄的啊？

太复杂了,有简单一点的方法吗?

Logfile of HijackThis v1.99.1
Scan saved at 9:16:25, on 2007-2-5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\gmm_my.exe
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\iexpl0re.exe
C:\WINDOWS\system.exe
C:\WINDOWS\winlog0n.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\conime.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\rundll32.exe
D:\LiDong\iNet Protector\IProtectorService.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\桌面\HijackThis.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: AssistHelper - {FE3ECAE7-0A37-4506-8A7D-3CC9A04D2CA8} - C:\Program Files\Yahoo!\Assistant\Assist\yassist.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4A40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MyIE2] C:\WINDOWS\my.exe
O4 - HKLM\..\Run: [CONFIG] C:\WINDOWS\gmm_my.exe
O4 - HKLM\..\Run: [IEXPlORER] C:\WINDOWS\goodrack.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - HKCU\..\Run: [w] C:\WINDOWS\iexpl0re.exe
O4 - HKCU\..\Run: [7h5yx3zce] C:\WINDOWS\system.exe
O4 - HKCU\..\Run: [wj12ulsx1v] C:\WINDOWS\winlog0n.exe
O4 - HKCU\..\Run: [wj12ulsx1v] C:\WINDOWS\winlog0n.exe
O8 - Extra context menu item: &使用迅雷下载 - d:\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\Program Files\Yahoo!\Assistant\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O8 - Extra context menu item: 雅虎搜索 - res://C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll/203
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew (file missing)
O16 - DPF: {E847C78C-C210-4195-8799-FBF3BF89797D} (金山毒霸在线产品升级) - http://www.duba.net/cab/KOSInit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0038B4BA-9281-4B04-B278-5DE5AF75287A}: NameServer = 61.128.128.68,61.128.192.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{89070DFC-B5F9-4619-8FE1-535705060A7E}: NameServer = 61.128.128.68,61.128.192.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{0038B4BA-9281-4B04-B278-5DE5AF75287A}: NameServer = 61.128.128.68,61.128.192.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{0038B4BA-9281-4B04-B278-5DE5AF75287A}: NameServer = 61.128.128.68,61.128.192.68
O23 - Service: Internet Protector System Service (InternetProtectorService) - Unknown owner - D:\LiDong\iNet Protector\IProtectorService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

用FindWindowA函数，捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数，找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息，相当于按下此按钮
  厉害```现在还没学函数``有点看不懂``希望以后学了后杀毒技术会变好些`~

我中了这个毒，系统重装了，并在各盘下创建了 oso.exe写字本文件。请问这样清除了病毒吗？？

谢谢楼主的详尽分析！

嘎嘎......顶过...

请教版主，为什么进入安全模式下，病毒也能自动运行？

小聪：
我的电脑也中了这样的病毒。请问一下，我这样做可以吗？

我在电脑没有中病毒以前用“还原精灵”做过备份。　我想用工具把我的C： D： E： F： 盘全部格式化一下，然后在开机时运行“还原精灵”还原。

这样做能彻底把病毒清除吗？　谢谢。

我还问一下，我是在一个移动硬盘里感染这个病毒的，可是那个盒里有重要文件。不能格，我该怎么安全清除病毒哪？？？

已经收录了.谢谢!

欣赏!

学习中...

以前遇到过，但我删也没删那么多。估计没删清。

小葱 修改了啊  呵呵  谢谢哦

u盘的在瑞星下直接可以杀除。系统盘和付盘的我杀除之后，机子上的盘用左键双击不能直接打开！是不是病毒并没有被杀掉！

我已经被病毒弄怕了,前面的威金\魔波\熊猫烧香\再来了一个OSO,马上还有一个"洪水猛兽",真的是太郁闷了,哪有这么多没事的人设计这些哟~~~~
我已经被病毒弄的精疲力尽了~

楼主辛苦了...最近通过U盘传播的那个什么“AUTO”的变种真的是一大堆啊...杀了一个又更新来了...络绎不绝呀...


永远支持瑞星

日常进程..QQ..QQLive..QQgame..

可是，怎么解决这个问题啊，请教，我也中了这样的病毒了……

楼主辛苦啊

虽说瑞星是反病毒的,但建议建立个造病毒的,把造熊猫的黑了,岂不快哉

只能看懂一半,还没搞懂!!还是要谢谢楼主,至顶~~!~

郁闷,这么久了还没有出专杀工具,真的是被写病毒的家伙搞死了,企业里这么多台电脑,每天都要把中毒的电脑重装系统把OSO.EXE SEVERE.EXE干掉.版主快点写专杀出来了,难道杀不了吗？

这个病毒还是挺利害的,佩服写病毒的人!!!

过了熊猫烧香,现在又来了OSO.EXE,迟一点时间SuperDown.EXE又要发作了,企业真的是遇难了．．．

郁闷中．．．

這個blog有討論到此病毒的新品種以及此人自製專殺USB病毒軟件：Trojan.PWS.QQPass.rlx
不過行為應該是類似的
http://blog.sina.com.cn/u/49f921b5010006u6

我弟弟電腦就是染了Trojan.PWS.QQPass.rlx  =.=|||
雖然卡巴或各大防毒軟件被病毒攔截
但是病毒高招，我也有絕招
那就是...把卡巴的avp.exe改名即可
如：avp2.exe(從樓主的技術資料得到的靈感，感謝^^")
這樣防毒軟件就能正常運行了
而至於病毒碼的更新若上不了網站
也可採取手動更新的模式
更新完再一起掃毒~~^^"
中毒的不妨試試看
也感謝樓主的精采分享~~
(破解病毒就是要直接殺掉他，重灌豈不向他投降!!)
只能說..這病毒風格獨到，小弟不禁佩服佩服
他想得到的殺毒軟件都防了
還host掉各大殺毒網站及更新的ftp server
並且一次三個以上的毒檔互相掩護
......了不起.....但我還是殺掉了....
刺激刺激~~~大戰五個小時....