新蠕虫setup.exe bbs.ikaka.com

baohe - 2007-2-8 15:11:00

setup.exe属性为隐藏；文件大小——18.4K。其MD5值见5楼图。

借助SSM的杀毒流程：
1、结束病毒进程（图1）
2、删除病毒文件（图2、图3。如果资源管理器看不到病毒文件，可以借助SREng。）。此毒还感染系统分区以外的可执行文件（被我的Tiny阻截了）。

3、清理注册表：

展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
删除：RFC1156Agent

展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："cmdbcs"="C:\\windows\\cmdbcs.exe"
删除："Internet"="C:\\windows\\system\\svchost.exe"
删除："InternetEx"="C:\\windows\\system\\1.exe"
删除："wsttrs"="C:\\windows\\wsttrs.exe"
删除："wsvs"="C:\\windows\\wsvs.exe"

图1

附件: 155847200728150210.jpg

baohe - 2007-2-8 15:12:00

图2

附件: 155847200728150239.jpg

afkp4e7 - 2007-2-8 15:12:00

这是哪一个setup啊

baohe - 2007-2-8 15:12:00

图3

附件: 155847200728150313.jpg

baohe - 2007-2-8 15:20:00

除了根目录下的setup.exe以外的其它东东（在SSM进程列表中出现；进程自动/被动结束后被移入blocked组）

附件: 155847200728151111.jpg

baohe - 2007-2-8 15:27:00

引用:

【afkp4e7的贴子】这是哪一个setup啊
………………

就是这个

附件: 155847200728151826.jpg

afkp4e7 - 2007-2-8 15:29:00

是这个么？
http://forum.ikaka.com/topic.asp?board=28&artid=8266607

baohe - 2007-2-8 15:33:00

引用:

【afkp4e7的贴子】是这个么？
http://forum.ikaka.com/topic.asp?board=28&artid=8266607
………………

是的

花花公子与小赖虫 - 2007-2-8 15:34:00

好像遇到过这种病毒,挺厉害的...

baohe - 2007-2-8 15:36:00

引用:

【花花公子与小赖虫的贴子】好像遇到过这种病毒,挺厉害的...
………………

如果有Tiny和SSM，这个病毒就容易对付。

afkp4e7 - 2007-2-8 15:37:00

我在虚拟机上都运行就把自己删了
这个东西够强的
感染可执行文件的是哪个进程啊猫老大
看着怎么像个下载器

baohe - 2007-2-8 15:42:00

引用:

【afkp4e7的贴子】我在虚拟机上都运行就把自己删了
这个东西够强的
感染可执行文件的是哪个进程啊猫老大
看着怎么像个下载器
………………

感染型下载器。当前最时髦的东东。
感染.exe文件的是：C:\WINDOWS\system\internat.exe

afkp4e7 - 2007-2-8 15:53:00

删除："Internet"="C:\\windows\\system\\svchost.exe"
删除："InternetEx"="C:\\windows\\system\\1.exe"
删除："wsttrs"="C:\\windows\\wsttrs.exe"
感染文件的是哪个猫老大

小泉烧香 - 2007-2-8 15:55:00

今天在ikaka看到猫叔在线激动半天
发了一个悄悄话过去。。
结果 - -！对方的悄悄化已满并不支持发送到邮箱

555空欢喜``

叶·幽思 - 2007-2-8 15:57:00

斑竹3楼回收站里的文件是用什么软件监测的?

还是根据文件创建日期?

baohe - 2007-2-8 15:58:00

引用:

【afkp4e7的贴子】删除："Internet"="C:\\windows\\system\\svchost.exe"
删除："InternetEx"="C:\\windows\\system\\1.exe"
删除："wsttrs"="C:\\windows\\wsttrs.exe"
感染文件的是哪个猫老大
………………

感染.exe文件的是：C:\WINDOWS\system\internat.exe

baohe - 2007-2-8 16:01:00

引用:

【小泉烧香的贴子】今天在ikaka看到猫叔在线激动半天
发了一个悄悄话过去。。
结果 - -！对方的悄悄化已满并不支持发送到邮箱

555空欢喜``
………………

我的悄悄话————早就坏了。邮箱里的悄悄话————多得一塌糊涂

baohe - 2007-2-8 16:02:00

引用:

【叶·幽思的贴子】斑竹3楼回收站里的文件是用什么软件监测的?

还是根据文件创建日期?
………………

用Tiny的Track'nReverse监控
这样玩儿，务必事先在Tiny的expert rules中设置好非系统分区的文件保护（用High Priority规则）。

afkp4e7 - 2007-2-8 16:03:00

预防一下先
安全第一

猪知山 - 2007-2-8 16:03:00

猫叔每天玩的DD蛮多的。。
学习下

baohe - 2007-2-8 16:06:00

引用:

【猪知山的贴子】猫叔每天玩的DD蛮多的。。
学习下

………………

最近，我在用各种病毒考验SSM的本事。
目前为止————基本满意。

上网求助来 - 2007-2-8 16:09:00

楼上的版主,我店里中的病毒就和你中的一样.有什么办法删除吗?如果要全部机器做系统的话,还得等好久呢.拷盘麻烦啊!!!有什么好办法能直接删除吗?谢谢!!!

Oo下弦之夜oO - 2007-2-8 16:11:00

晕怎么全是人们被黑客牵这鼻子走啊 ~！难道不可以我们先发制人吗，能查到地址话可以动用警察，不能的我们杀毒的厂商是不是可以自己从中学黑客样去反击黑客，也许是无稽之谈但受害的全是广大的网民中毒了高手可以自救网民呢？有这么多高手的话为什么不能先给全国网民上上课呢，那么病毒来时是不是可以减少损失呢瑞星可以开设网民防毒课堂啊高手高手不就可以把知道的讲给人听呢挨打了就要站起来反抗高手的荣誉是网民赋予那他必须起到帮助网民的义务
我自己中毒多了就了开QQ群我纯熟菜鸟可我会把最新病毒告诉大家把经验讲给大家呵呵你可以说做宣传可我也是为大家有菜鸟的来+啊群ID32484686 希望所谓的高手也能帮帮我们这些菜鸟网民
将团结菜鸟当真正高手帮助那些菜鸟时黑客=“垃圾” 熊猫是个新的开始反抗病毒也要新的开始我们是网民不是“亡命”

baohe - 2007-2-8 16:14:00

引用:

【上网求助来的贴子】楼上的版主,我店里中的病毒就和你中的一样.有什么办法删除吗?如果要全部机器做系统的话,还得等好久呢.拷盘麻烦啊!!!有什么好办法能直接删除吗?谢谢!!!
………………

这个帖子就是谈手工杀毒流程的。
不过，这种手杀办法只适合有点儿系统知识的个人用户中招后使用。网吧，要这么干————非得累死。

猪知山 - 2007-2-8 16:19:00

期待猫叔的SSM的教学帖

上班累，下班忙。。。

上网求助来 - 2007-2-8 16:20:00

我下面的客户机上装了冰点了,不知道有没有效果!因为没有全部停业试过.昨天中病毒之后,我叫电脑公司的人把收银机的系统恢复了，但是恢复系统后打开IE去下冰点了,结果~~~~~~~今天游戏服务器做好系统,装上去后,想在收银机上装个PCanywhere.结果双击安装程序!马上又中了.!
现在店里的收银机我也没敢动!!!我看过下面的客户机,都没感染上.这个病毒在局域网内的传播速度相当的快啊!!!

我如果就想删收银机和服务器上的病毒应该怎么删呢?那两个软件的下载地址是多少呢?收银机上我连IE都不敢开.

baohe - 2007-2-8 16:26:00

引用:

【上网求助来的贴子】!那两个软件的下载地址是多少呢?收银机上我连IE都不敢开.
………………

SSM官方下载地址： http://www.syssafety.com/files.html
Tiny，自己搜吧。我是2005年初下载的，地址————早忘了。

上网求助来 - 2007-2-8 16:28:00

谢谢啊!!我先去下一个试试!!!

没事发发呆 - 2007-2-9 9:17:00

我家里的机子也中了这个病毒，昨天已经把病毒删完，重启没见有setup.exe哪autorun了，但今天用的时候又发现再次被感染了，是否由于“此毒还感染系统分区以外的可执行文件”？那怎么把这些被感染的文件找出来呢，我都不知道是那天中的病毒了，好像是7号还是6号……
期待出专杀或者能修改的杀毒软件，而不是直接删掉。

瑞星卡卡安全论坛