瑞星卡卡安全论坛

SREng日志所见异常项:

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <InternetEx><C:\windows\system\1.exe>  [N/A]
    <wsvs><C:\windows\wsvs.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <mppds><C:\windows\mppds.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <wsttrs><C:\windows\wsttrs.exe>  [N/A]
    <Internet><C:\windows\system\svchost.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <internet><C:\windows\system\taskmgr.exe /scan>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><684745M.BMP>  [N/A]

==================================
浏览器加载项

[Flash 7]
  {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} <C:\WINDOWS\system\IceHBO.dll, N/A>

==================================
被病毒插入的进程

[PID: 1388][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 1860][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 1852][C:\Program Files\Rising\Rav\Ravmon.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2156][C:\Program Files\Opera\Opera.exe]  [Opera Software, 7561]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2972][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2848][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2556][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 532][C:\SREng\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]

病毒进程：
[PID: 616][C:\windows\system\internat.exe]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 3880][C:\windows\system\1.exe]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2220][C:\windows\system\svchost.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 3288][C:\windows\system\taskmgr.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]


==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
[D:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

结束病毒进程后，需要删除的病毒文件（见附图）。
至于被病毒感染的.exe文件，请用杀软清除其中的病毒代码。瑞星19.09.42已可查杀此毒。

我的实战结果显示：用SSM，可以制服这个蠕虫（不会发生“再次感染”）。即使那些被感染的.exe一时无法处理（须等待杀软升级处理），只要将SSM设置妥当，且用SSM将病毒的.exe程序归入bolcked组，那些被此毒感染过的.exe就运行不了。

附件: 1558472007211163808.jpg

现在的病毒都老喜欢在每个盘符加AUTORUN，还是关闭自动播放功能的比较好

引用:

【奇迹天下的贴子】现在的病毒都老喜欢在每个盘符加AUTORUN，还是关闭自动播放功能的比较好 ………………

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

将上述内容保存为kill_auto.reg
双击kill_auto.reg，将其导入注册表。就永远清静了。

不错的方法 哈哈

这个病毒好可恶  那么多文件基本都是病毒下载的
包括征途木马、江湖木马、WSGame等等多个盗号木马

学习了..

能不能说得详细点啊，还有那个图也看不清楚啊

唉！貌似现在的病毒感染exe已经成为标配了！

刚才看到这个了,不过只有这上面的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<msccrt><C:\WINDOWS\msccrt.exe> [N/A]
<wsttrs><C:\WINDOWS\wsttrs.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><399952M.BMP> [N/A]
[PID: 1388][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
C:\WINDOWS\msccrt.DLL
C:\WINDOWS\wsttrs.DLL

TO  7楼的：不一定全部都有  那些都不是这个病毒，而是这个病毒下载的，比如><C:\WINDOWS\msccrt.exe应该是Trojan.PSW.OnLineGames病毒

而C:\WINDOWS\wsttrs.exe是其他病毒，也没准是Trojan.PSW.OnLineGames

而C:\WINDOWS\msccrt.DLL
C:\WINDOWS\wsttrs.DLL这两个文件一定会存在因为它属于
3、DLL嵌入（间接嵌入）
我们再来看看这个间接嵌入，说它间接是因为病毒使用EXE文件作跳板来嵌入EXE文件。这类病毒很多，比如征途木马（Trojan.PSW.ZhengTu.*）的部分变种、Trojan.PSW.WSGame等等，这些病毒如果试验，有一个特点，其EXE文件会在运行后删除。
这个运行方式比较复杂，EXE文件会干以下几件事情：释放要嵌入的DLL、运行DLL（执行嵌入）、建立自身以供下一次运行、建立启动项指向自身、删除自身（顺叙就不知道了，没有试验）。完成运行过程后，EXE文件和DLL文件都会保住，且病毒也会正常运行。
删除方式很简单，就是首先查看启动项，掌握启动的EXE，然后把此EXE文件复制出来，可以用虚拟机（VMware Workstation）进行运行，估计新手没有这种条件，可以使用filemon监视，看看运行此文件创建或者读写了那一个DLL文件，用冰刃删除启动项和对应EXE、DLL文件，病毒解决。

引用:

【恋恋♂红尘的贴子】能不能说得详细点啊，还有那个图也看不清楚啊 ………………

点击看大图

引用:

【UFO不幸外人的贴子】TO  7楼的：不一定全部都有  那些都不是这个病毒，而是这个病毒下载的，比如><C:\WINDOWS\msccrt.exe应该是Trojan.PSW.OnLineGames病毒 而C:\WINDOWS\wsttrs.exe是其他病毒，也没准是Trojan.PSW.OnLineGames 而C:\WINDOWS\msccrt.DLL C:\WINDOWS\wsttrs.DLL这两个文件一定会存在因为它属于 3、DLL嵌入（间接嵌入） 我们再来看看这个间接嵌入，说它间接是因为病毒使用EXE文件作跳板来嵌入EXE文件。这类病毒很多，比如征途木马（Trojan.PSW.ZhengTu.*）的部分变种、Trojan.PSW.WSGame等等，这些病毒如果试验，有一个特点，其EXE文件会在运行后删除。 这个运行方式比较复杂，EXE文件会干以下几件事情：释放要嵌入的DLL、运行DLL（执行嵌入）、建立自身以供下一次运行、建立启动项指向自身、删除自身（顺叙就不知道了，没有试验）。完成运行过程后，EXE文件和DLL文件都会保住，且病毒也会正常运行。 删除方式很简单，就是首先查看启动项，掌握启动的EXE，然后把此EXE文件复制出来，可以用虚拟机（VMware Workstation）进行运行，估计新手没有这种条件，可以使用filemon监视，看看运行此文件创建或者读写了那一个DLL文件，用冰刃删除启动项和对应EXE、DLL文件，病毒解决。 ………………

是那种~求助上写了病毒的名称了,呵呵

病毒好象没有了。
exe还是怎么修复 量很大 好象基本中招,请求解决办法.能不能修复exe文件

中此毒 基本没救..

欢迎大家干掉所有.exe

重装系统..

C:\WINDOWS\win.log
这个文本里记载了 被感染的文件..

这种病毒只能上报，然后让瑞星自己修去

引用:

【mopery的贴子】 中此毒 基本没救.. 欢迎大家干掉所有.exe 重装系统.. C:\WINDOWS\win.log 这个文本里记载了 被感染的文件.. ………………

不会吧.这么厉害,难道非装系统不可,\连杀毒软件也修复不了吗???

没救了？不是吧

应该可以的，只要等到新版本的瑞星，或者出专杀都可以搞定

怎么上报这个病毒

按照楼主说的处理了还是没用啊

有没有更进一步的处理方案啊

我每次看到autorun病毒就打找文本文档。。
把里面的东西全删掉。。
嘿嘿~~

看了两大斑竹的帖子,我想哭

引用:

【姑苏残月的贴子】看了两大斑竹的帖子,我想哭 ………………

引用:

【恋恋♂红尘的贴子】按照楼主说的处理了还是没用啊 ………………

楼主只是测试一个样本而已  每一个样本对下载病毒有所不同，所以你可能没有处理干净

引用:

【UFO不幸外人的贴子】 楼主只是测试一个样本而已  每一个样本对下载病毒有所不同，所以你可能没有处理干净 ………………

嗯，样本很重要，虽然瑞星加了脱壳技术，不过貌似对付类熊猫病毒效果不大

引用:

【UFO不幸外人的贴子】 楼主只是测试一个样本而已  每一个样本对下载病毒有所不同，所以你可能没有处理干净 ………………

处理这个病毒的要点是：
1、用HIPS（SSM之类）禁掉那些病毒进程；
2、用IceSwod剥离插入正常进程的病毒模块。
即使杀软一时灭不掉这个病毒，用SSM完全可以搞掂它。

引用:

【baohe的贴子】 处理这个病毒的要点是： 1、用HIPS（SSM之类）禁掉那些病毒进程； 2、用IceSwod剥离插入正常进程的病毒模块。 ………………

弱弱的问声，那SSM很贵的，老大用的是D版还是免费的那个？

引用:

【奇迹天下的贴子】 弱弱的问声，那SSM很贵的，老大用的是D版还是免费的那个？ ………………

SSM的收费版————不存在盗版问题。
它自己的试用期监控方式有漏洞。我并未盗版。

使用方法很简单，打开SSM，然后点右上角的那个“注册”，然后把下面这个文本字符完整贴进去便可：
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2.3版前可以用...转贴  出处就不说了

引用:

【baohe的贴子】 SSM的收费版————不存在盗版问题。 它自己的试用期监控方式有漏洞。我并未盗版。 ………………

这个理由不错...