瑞星卡卡安全论坛
汇汇 - 2007-9-18 2:39:00
今天浏览一网站,好像是虎骑(6.3v4v5v.com)。瑞星提示网页有病毒,后瑞星小伞收起变红,并被强制关闭,其他程序如QQ也被莫名其妙退出。
其他现状:
>打开进程管理器发现ofcottc.exe和ftfcqc.exe两个问题进程。选中其中一个执行结束,管理器会自行关闭,重新打开管理器,两程序仍在运行;
>打开其他分区盘符时提示该分区有自动运行的功能
>执行任何exe程序失效(双击打开后会自动关闭),安全模式下也如此!
>重新启动时,瑞星杀毒软件没有自动运行(甚至开机时扫描的界面都会消失!)
>重启后不作任何操作,打开任务管理器未发现ofcottc.exe和ftfcqc.exe。打开任何盘符分区后管理器中发现ofcottc.exe和ftfcqc.exe。
用“HijackThis”扫描到其“位置”:
<C:\Program Files\Common Files\System\fftfcqc.exe>
<C:\Program Files\Common Files\Microsoft Shared\ofcottc.exe>
但是即使是选择了“工具→文件夹选项→查看→隐藏爱保护操作系统文件(勾去掉)→显示所有文件和文件夹”操作后,在以上两个位置,根本就找不到其所在的“System”和“Microsoft Shared”文件夹!
解决方法:
我用GHOST还原了以前的系统备份(肯定不带病毒),无备份的只好重新安装了:(
还原后第一次启动我就进入“安全模式”
进入后不要打开任何盘符分区,避免使病毒自动运行
开始——资源管理器——工具——文件夹选项——查看——隐藏爱保护操作系统文件(勾去掉)——显示所有文件和文件夹
发现除系统盘外,其他盘符多出一个文件——“ujrscrc.ece”
按住Shift+Delete直接删除ujrscrc.ece,连同常见的AUTORUN也一并删除
重新启动系统,以防万一,进去后直接用瑞星再次查杀病毒(建议可安装上其他杀软,因为中毒的时候瑞星都被莫名其妙干掉了,难过ing……)
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
金木水火人 - 2007-9-18 9:29:00
楼主肯定是很久没有把瑞星的病毒库升级了,不然怎么会出现如此情况。我用瑞星n年了,从来没有出过什么问题!
汇汇 - 2007-9-19 10:00:00
【回复“金木水火人”的帖子】
。。。。。。
19.41是很旧的版本?。。。。
2007.09.18
有情人终成眷属 - 2007-9-19 10:01:00
| 引用: |
【汇汇的贴子】【回复“金木水火人”的帖子】
。。。。。。
19.41是很旧的版本?。。。。
2007.09.18
……………… |
楼主好久未见出水了,欢迎回来
lalaoia - 2007-9-19 10:04:00
这么厉害的病毒啊! - -
日不懂啊 - 2007-9-19 10:09:00
>执行任何exe程序失效(双击打开后会自动关闭),安全模式下也如此!
那别的文件是否可以运行?
比如说把冰刃改名为1.com运行可以吗?
LZ还有样本么?ujrscrc.ece有的话发一个给我好吗?麻烦了
邮箱在签名~密码邮件中说明,谢谢
xanfail2008 - 2007-9-19 11:40:00
确实是新的,不要说什么反病毒升级不升级的话,中了这个病毒谁也不敢说大话,试过了,大多数反病毒软件全部倒下,恢复、重装如果不小心操作那是白费力气,而且以前的手工删除思路也用不上。我倒是曾经有个样本,可是没等你压缩它你的机器就不行了,试了几次没提取成功。
我的成功2个简单处理办法如下:
1、重装或恢复后不要动D、E、F分区,用资源管理器快速删除那2 个杂碎。
2、把映象其中的随意一个键值更改为病毒本身重启,然后删除全部印象劫持(注意系统日期的正确),启动反病毒软件扫描。
日不懂啊 - 2007-9-19 11:45:00
| 引用: |
【xanfail2008的贴子】确实是新的,不要说什么反病毒升级不升级的话,中了这个病毒谁也不敢说大话,试过了,大多数反病毒软件全部倒下,恢复、重装如果不小心操作那是白费力气,而且以前的手工删除思路也用不上。我倒是曾经有个样本,可是没等你压缩它你的机器就不行了,试了几次没提取成功。
我的成功2个简单处理办法如下:
1、重装或恢复后不要动D、E、F分区,用资源管理器快速删除那2 个杂碎。
2、把映象其中的随意一个键值更改为病毒本身重启,然后删除全部印象劫持(注意系统日期的正确),启动反病毒软件扫描。
……………… |
朋友,在重装以后,应该可以用WINRAR打开别的分区
找到ujrscrc.ece
压缩加密,这样做不到吗?
日不懂啊 - 2007-9-19 17:54:00
顶上去,好想要这个样本...
一生零人 - 2007-9-19 20:31:00
我这边也有啊,今天折腾我一下午了,明天早上看看能不能你提供样本啊,我一开始还以为是AV终结者呢,因为病毒症状是一个样子啊
我用后缀名为.com的专杀工具也不能运行啊.
一生零人 - 2007-9-20 8:31:00
强烈要求置顶,麻烦管理员帮忙解决啊
4960550 - 2007-9-20 9:21:00
就是,害的我一天装8次系统,奶奶的,我有样本!要的话联系我QQ:184346377 邮箱:hefuwen@163.com
4960550 - 2007-9-20 9:27:00
还有,中了以后,它可以自动下载其他病毒,木马!
一生零人 - 2007-9-20 10:38:00
我的已经解决了,不过方法有点笨哈,还有点运气
我先冒死拿个移动硬盘拷了金山得AV终结者专杀工具4.5版本的到中毒的机器上去,重新安装系统,安装完毕后,瞬间打开专杀工具,此时病毒可能会自动关闭它,要做到在打开专杀的同时立即点“开始扫描”我是试了7、8次才成功得,它会删除一个到2个病毒,此时再安装杀毒软件,升级杀毒就可以了!
newcenturymoon - 2007-9-20 11:11:00
AV终结者
sunzhidahai - 2007-9-20 11:14:00
不需要重新还原电脑吧!使用一些安全工具应该可以搞定!
日不懂啊 - 2007-9-20 11:20:00
| 引用: |
【newcenturymoon的贴子】AV终结者
……………… |
AV的新变种么?
以前是随即7位8位数字的那个吧?
haohe的fans - 2007-9-20 11:28:00
AV?
西门0909 - 2007-9-20 11:45:00
那么厉害?该为COM都不行?能打开注册表不?
汇汇 - 2007-10-7 23:11:00
希望大家能打的多打补丁:)
打了补丁就不那么容易中毒了,以前中毒是因为懒得打补丁。。。
打了补丁系统变慢点总比中毒好啊!
baohe - 2007-10-7 23:13:00
这个病毒还算手下留情(没删除你的GHO)
汇汇 - 2007-10-7 23:15:00
| 引用: |
【baohe的贴子】这个病毒还算手下留情(没删除你的GHO)
……………… |
baohe大哥不要吓我呵
我很久没跟他们打交道了。。。。
baohe - 2007-10-7 23:21:00
| 引用: |
【汇汇的贴子】
baohe大哥不要吓我呵
我很久没跟他们打交道了。。。。
……………… |
不是吓唬你撒。
删除GHO备份的DD不少。
把GHO备份刻录到光盘上吧。塌实。
汇汇 - 2007-10-7 23:24:00
说的也是,刚弄了个正版的XP专业版,值得一刻
1
© 2000 - 2026 Rising Corp. Ltd.