遇到新病毒在线等！a.d3a.us，紧急啊！！！！！！ bbs.ikaka.com

七龙网络 - 2007-2-9 20:13:00

症状和熊猫烧香有点像，怀疑是变种，等高手回帖子，紧急啊！！！！！！！！
症状和熊猫烧香差不多，不一样的是没删除备份文件，但是自动从a.d3a.us这个网站下载病毒了；并且所有浏览器打开顶部都有个广告加在里面，我试了所有的专杀和杀毒软件都没查出什么病毒，而且ARP攻击特厉害！

baohe - 2007-2-9 20:18:00

【回复“七龙网络”的帖子】
如果有病毒的可执行文件（.exe），请打包，加密（密码：123），发到：baohelin@yahoo.com.cn

七龙网络 - 2007-2-9 20:19:00

好的.我马上打包给你,麻烦你帮我分析一下好吗?急啊谢谢了

七龙网络 - 2007-2-9 20:32:00

传给你了，谢谢

baohe - 2007-2-9 20:37:00

引用:

【七龙网络的贴子】传给你了，谢谢
………………

收到了。
运行了。
失望了。
AutoUpdate.exe和soul.exe在我这里都一样：只是调用了一下ntvdm.exe，就自动结束了。
无法进一步观察。

附件: 155847200729203050.jpg

七龙网络 - 2007-2-9 20:40:00

原种太复杂，好象删除掉了，你看看http://a.d3a.us/1/ccc/bbb.exe这个，这个是病毒之后自动打开下载的网站，谢谢了，急啊等你呢

baohe - 2007-2-9 20:48:00

引用:

【七龙网络的贴子】原种太复杂，好象删除掉了，你看看http://a.d3a.us/1/ccc/bbb.exe这个，这个是病毒之后自动打开下载的网站，谢谢了，急啊等你呢

………………

请参考这个帖子处理：http://forum.ikaka.com/topic.asp?board=28&artid=8267259
只要用SSM将病毒的所有主体文件都禁掉，暂时就没事了。
只要将SSM 设置为“自动运行”（开机加载），被感染的那些.exe文件并不能再感染系统。等杀软升级后处理即可。

七龙网络 - 2007-2-9 20:49:00

怎么样拉？回信息啊，急啊我可是在线等你啊，帮帮忙急

baohe - 2007-2-9 20:50:00

引用:

【七龙网络的贴子】怎么样拉？回信息啊，急啊我可是在线等你啊，帮帮忙急
………………

6楼已经回复你了。

癞蛤蟆想吃天鹅 - 2007-2-9 20:53:00

这个病毒，7878

七龙网络 - 2007-2-9 20:55:00

不是啊，我所有的客户机游戏都感染了，没有杀毒软件更本就分不清哪些是被感染的哪些没有被感染啊，能不能说说具体的杀毒步骤和防御步骤啊

七龙网络 - 2007-2-9 21:02:00

急啊再回复一次好啊？

baohe - 2007-2-9 21:03:00

引用:

【七龙网络的贴子】不是啊，我所有的客户机游戏都感染了，没有杀毒软件更本就分不清哪些是被感染的哪些没有被感染啊，能不能说说具体的杀毒步骤和防御步骤啊
………………

我在影子系统中运行那个bbb.exe后，系统分区以外的所有.exe和html文件都被感染。卡巴今天的最新病毒库查不出此毒。
如果用SSM禁止所有病毒程序运行，并按照我那个帖子删除病毒文件，没有任何问题。
至于被感染的.exe文件，也可以运行。只是运行时在系统盘根目录下释放一个_de文件。如果用SSM禁掉这个_de，你尽可放心运行那些被感染的.exe。没有再次感染系统的危险。
听不听，在你了。

七龙网络 - 2007-2-9 21:09:00

要一台台的装SSM吗？那个东西全英文版本的没用过啊

baohe - 2007-2-9 21:13:00

引用:

【七龙网络的贴子】要一台台的装SSM吗？那个东西全英文版本的没用过啊
………………

你是网吧的网管？

累死！！

baohe - 2007-2-9 21:20:00

说实在的，个人用户，会用SSM，这个病毒就不可怕。
下图是仅仅用SSM禁止病毒运行，病毒文件一个没删，就打开浏览器浏览网页的例子（本人目前的实际状态）。

附件: 155847200729211107.jpg

七龙网络 - 2007-2-9 21:25:00

你说了这么多就不能说说怎么用SSM禁止啊？发两张截图教程上来撒，谢谢了哈哈

baohe - 2007-2-9 21:31:00

引用:

【七龙网络的贴子】你说了这么多就不能说说怎么用SSM禁止啊？发两张截图教程上来撒，谢谢了哈哈
………………

图1

附件: 155847200729212157.jpg

baohe - 2007-2-9 21:31:00

图2

附件: 155847200729212225.jpg

baohe - 2007-2-9 21:33:00

图3：
重复图1-2操作，将所有病毒进程移到blocked组。
注：你系统中的病毒进程远远比图3所显示的多。

附件: 155847200729212430.jpg

baohe - 2007-2-9 21:35:00

千万别忘记这个：

附件: 155847200729212630.jpg

七龙网络 - 2007-2-9 21:36:00

啊？？？
你是中文版本的啊？传个给我好不好啊，我找到现在全是英文版的，而且还有时间限制啊？有没有破解的或者序列号啊？我要装客户机啊

baohe - 2007-2-9 21:40:00

引用:

【七龙网络的贴子】啊？？？
你是中文版本的啊？传个给我好不好啊，我找到现在全是英文版的，而且还有时间限制啊？有没有破解的或者序列号啊？我要装客户机啊
………………

汗！！

附件: 155847200729213109.jpg

七龙网络 - 2007-2-9 21:43:00

别汗撒，发错了我知道改中文，我是要个密匙啊我装的2.2的哈哈
有没有啊？我找不到哎

七龙网络 - 2007-2-9 21:55:00

人呢？这么早就睡觉拉？发一个来撒，好东西大家共享哈哈

baohe - 2007-2-9 21:57:00

引用:

【七龙网络的贴子】别汗撒，发错了我知道改中文，我是要个密匙啊我装的2.2的哈哈
有没有啊？我找不到哎
………………

不需要找什么“密钥”。
2.2版可以这样：

附件: 155847200729214758.jpg

UFO不幸外人 - 2007-2-9 22:01:00

我疯了，佩服斑竹

其实你这么找到麻烦了，可以直接告诉他删除方法么

SSM有文件更改记录，你那里也有影子系统，直接写删除方法比较简单，虽然这个可以防护，好像对于新手还是有点困难。

七龙网络 - 2007-2-9 22:05:00

罗嗦什么啊？我马上把病毒原执行程序送给斑竹做礼物了哈哈，他要是说明删除方法那就更好了，斑竹准备到邮箱收礼物

baohe - 2007-2-9 22:06:00

引用:

【UFO不幸外人的贴子】我疯了，佩服斑竹

其实你这么找到麻烦了，可以直接告诉他删除方法么

SSM有文件更改记录，你那里也有影子系统，直接写删除方法比较简单，虽然这个可以防护，好像对于新手还是有点困难。
………………

简单地删掉了。
下次中毒还要来问。
自己试着用SSM搞搞，以后中招了，就不用求人了。
多掌握几个安全工具的正确使用方法，有利无害。

baohe - 2007-2-9 22:09:00

引用:

【七龙网络的贴子
他要是说明删除方法那就更好了
………………

你不会删文件啊？
这不可能！！

瑞星卡卡安全论坛