瑞星卡卡安全论坛

这个病毒中了以后，日志中不正常的有：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\WINDOWS\system32\svchost.com>  [NOBODY]

Autorun.inf
[C:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto
[D:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto
[E:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto
[F:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto

还有用卡卡上网助手可以看到：
在注册表HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe
强奸了系统程序：
C:\WINDOWS\SYSTEM32\SSMYPICS.SCR  到C:\WINDOWS\SYSTEM32\SVCHOST.COM

中毒后在正常模式下，打开我的电脑——工具——文件夹选项——显示（这个时候窗口被强制关闭！）
用冰刃删除Autorun.inf和SFF.exe 立即复制回来。（冰刃禁止了进程创建，而且事先结束了进程SVCHOST.COM
仿佛很牛~~~

解决方法：
只要进入安全模式（开机按F8）
删除
C:\WINDOWS\SYSTEM32\SVCHOST.COM
每个盘下的SFF.exe和 Autorun.inf
清除注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\WINDOWS\system32\svchost.com>  [NOBODY]
删除登陆通知项
HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe
C:\WINDOWS\SYSTEM32\SSMYPICS.SCR 

重起 问题解决



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

麻烦能把 样本 发给我么 谢谢
newcenturymoon1986@yahoo.com.cn
加密123

引用:

【newcenturymoon的贴子】麻烦能把 样本 发给我么 谢谢 newcenturymoon1986@yahoo.com.cn 加密123 ………………

也给我发一个,qcqyt1983@163.com
谢谢

引用:

【newcenturymoon的贴子】麻烦能把 样本 发给我么 谢谢 newcenturymoon1986@yahoo.com.cn 加密123 ………………

阳光大大，样本已发，请查收~~~不必客气

也发我一个,john1018_1983_1@hotmail.com
加密123,
再问一下,虚拟器上能做吗?
实机太危险

引用:

【彩虹岛的贴子】也发我一个,john1018_1983_1@hotmail.com 加密123, 再问一下,虚拟器上能做吗? 实机太危险 ………………

样本已发了，请查收~~
这个东西我就是实机测试的，问题不大
安全起见还是虚拟吧，呵呵

引用:

【没有梦想的男人的贴子】 也给我发一个,qcqyt1983@163.com 谢谢 ………………

样本已发密码1234
请查收~~不客气

麻烦也发下  等下回来 也玩玩  邮箱还记得吗 

引用:

【HOSTのS的贴子】麻烦也发下  等下回来 也玩玩  邮箱还记得吗  ………………

不记得了，你个家伙，有好玩的样本也发给兄弟几个嘛

引用:

【日不懂啊的贴子】 不记得了，你个家伙，有好玩的样本也发给兄弟几个嘛 ………………

我要有时间找样本  就不找你要了  现在是忙里偷闲  玩一下 
hostsqw@163.com

也麻烦你给我发一个样本  谢谢
tan2000tan@21cn.com
加密123

引用:

【HOSTのS的贴子】 我要有时间找样本  就不找你要了  现在是忙里偷闲  玩一下  hostsqw@163.com ………………

发了~

引用:

【青松1的贴子】也麻烦你给我发一个样本  谢谢 tan2000tan@21cn.com 加密123 ………………

发了

感谢版主，在你孜孜不倦的教导下，本机问题得以解决。但是，我们单位的所以移动硬盘都感染了这个病毒，只要硬盘插入原来处理好的本机也就又感染了。请问有什么方案可以解决移动硬盘上的问题！？！？？

引用:

【twhsunny的贴子】感谢版主，在你孜孜不倦的教导下，本机问题得以解决。但是，我们单位的所以移动硬盘都感染了这个病毒，只要硬盘插入原来处理好的本机也就又感染了。请问有什么方案可以解决移动硬盘上的问题！？！？？ ………………

你说的斑竹应该是阳光大大吧？哈哈哈哈
硬盘上的问题比较好解决
就是把Autorun.inf和SFF.exe 删了就应该没事了

但不要双击移动硬盘，先显示所有的隐藏文件，包括受保护的系统文件
再用冰刃或者WINRAR打开删除 应该就没事了

样本已收  多谢    有空玩下