瑞星卡卡安全论坛
日不懂啊 - 2007-9-28 15:43:00
等了两天终于弄来了样本,听说卡饭这个样本早有人测试过。江民的斑竹,孤独更可靠,也测试了该病毒。
08测试版瑞星阻止了病毒的运行。关闭监控,运行成功。
现象NNN多:
IFEO劫持
破坏安全模式
恶意修改瑞星杀软,把杀毒的处理锁定在“不处理”
锁定任务管理器
关闭瑞星防火墙
重要!!!!删除.GHO文件(让中毒的无法还原)够畜生的
下载一堆木马,不记得了,反正N多
修改系统日期为2000年
修改显示隐藏文件夹名选项为:禽兽还有点怜悯之心,而我一点也没有,所以我不是禽兽。
下面处理病毒,开始还是蛮顺利的,后来可能操作失误,挂了(由于GHOST了,所以很多当时记录的文档米了555555)
开机加载冰刃,启动成功
删除文件
C:\WINDOWS\SYSTEM32\CRSSS.EXE
每个盘下的autorun.inf niu.exe
E盘还有个autorun.exe
全部删除
启动改命为1.com的SRENG 病毒把程序删除
运行IFEO重定向劫持修复工具 删除所有的劫持
SRENG运行成功
删除病毒加载的驱动,病毒启动项目
修复显示隐藏文件
用WINDOWS清理助手搞了下,后来出问题了...
重置HOSTS文件说我没有这个权限...
创建用户帐户出错
安全模式无法修复
还好,我开始把GHOST文件改了名了,现在恢复了系统.
样本还在
请求高手测试,以解决这个病毒
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
yqlikaka - 2007-9-28 15:50:00
哎,都是安全局的错啊,判李俊死刑就对了,看他哪个龟儿子还敢做病毒,还有刚才看见又一个大大中了 维特虫 这个毒,目前还没分析出来呢,只能重做系统
没有梦想的男人 - 2007-9-28 15:51:00
太阴了这个病毒.我还是不玩这个病毒了,怕怕.
日不懂啊 - 2007-9-28 15:59:00
NND,打算再搞次~~~
yqlikaka - 2007-9-28 16:01:00
支持!!!!
没有梦想的男人 - 2007-9-28 16:03:00
给我一个.我陪你玩玩这个毒.
日不懂啊 - 2007-9-28 16:04:00
邮箱
没有梦想的男人 - 2007-9-28 16:06:00
你不是有了吗.晕..qcqyt1983@163.com
日不懂啊 - 2007-9-28 16:07:00
| 引用: |
【yqlikaka的贴子】哎,都是安全局的错啊,判李俊死刑就对了,看他哪个龟儿子还敢做病毒,还有刚才看见又一个大大中了 维特虫 这个毒,目前还没分析出来呢,只能重做系统
……………… |
做病毒就做啦`~
别祸害自己人撒。搞小日本去~~对了,还有美国佬
德拉克拉·零 - 2007-9-28 16:20:00
给我一个 谢谢 drackla@163.com
日不懂啊 - 2007-9-28 16:22:00
楼上的,不好意思啊,不认识的朋友不能给
baohe - 2007-9-28 16:37:00
| 引用: |
【日不懂啊的贴子】等了两天终于弄来了样本,听说卡饭这个样本早有人测试过。江民的斑竹,孤独更可靠,也测试了该病毒。
08测试版瑞星阻止了病毒的运行。关闭监控,运行成功。
现象NNN多:
IFEO劫持
破坏安全模式
恶意修改瑞星杀软,把杀毒的处理锁定在“不处理”
锁定任务管理器
关闭瑞星防火墙
重要!!!!删除.GHO文件(让中毒的无法还原)够畜生的
下载一堆木马,不记得了,反正N多
修改系统日期为2000年
修改显示隐藏文件夹名选项为:禽兽还有点怜悯之心,而我一点也没有,所以我不是禽兽。
下面处理病毒,开始还是蛮顺利的,后来可能操作失误,挂了(由于GHOST了,所以很多当时记录的文档米了555555)
开机加载冰刃,启动成功
删除文件
C:\WINDOWS\SYSTEM32\CRSSS.EXE
每个盘下的autorun.inf niu.exe
E盘还有个autorun.exe
全部删除
启动改命为1.com的SRENG 病毒把程序删除
运行IFEO重定向劫持修复工具 删除所有的劫持
SRENG运行成功
删除病毒加载的驱动,病毒启动项目
修复显示隐藏文件
用WINDOWS清理助手搞了下,后来出问题了...
重置HOSTS文件说我没有这个权限...
创建用户帐户出错
安全模式无法修复
还好,我开始把GHOST文件改了名了,现在恢复了系统.
样本还在
请求高手测试,以解决这个病毒
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
……………… |
很俗气的病毒。此毒模仿AV终结者,还没模仿好。
个人感觉它比原版的AV终结者差一大截子。
首先是隐蔽性太差,中招者的进程列表中N多个reg.exe进程(估计是此毒每隔几秒就重写病毒主体文件所致)。
其次,网上说的:此毒还会下载N多木马到系统中。运行此毒后,我等了足足半个小时,一个木马也没下来。汗!
用IceSword禁止进程创建。结束crsss.exe、iexplore.exe、N个reg.exe、N个conime.exe进程。删除病毒主体文件(图),用Tiny的Track'nReverse恢复那些被插入代码的htm文件,删除IFEO劫持项和病毒加载项。搞掂。
至于什么“破坏隐藏文件显示”、“破坏安全模式”等下三烂的招数,处理干净病毒后,用原来的注册表备份恢复一下即可。
注意:此毒删除硬盘上的.gho。如果GHOST备份只做在硬盘中,中招后,你的GHOST备份就死翘翘了。汗!
附件:
1558472007928162648.jpg
孤独更可靠 - 2007-9-28 16:38:00
| 引用: |
【日不懂啊的贴子】等了两天终于弄来了样本,听说卡饭这个样本早有人测试过。江民的斑竹,孤独更可靠,也测试了该病毒。
08测试版瑞星阻止了病毒的运行。关闭监控,运行成功。
现象NNN多:
IFEO劫持
破坏安全模式
恶意修改瑞星杀软,把杀毒的处理锁定在“不处理”
锁定任务管理器
关闭瑞星防火墙
重要!!!!删除.GHO文件(让中毒的无法还原)够畜生的
下载一堆木马,不记得了,反正N多
修改系统日期为2000年
修改显示隐藏文件夹名选项为:禽兽还有点怜悯之心,而我一点也没有,所以我不是禽兽。
下面处理病毒,开始还是蛮顺利的,后来可能操作失误,挂了(由于GHOST了,所以很多当时记录的文档米了555555)
开机加载冰刃,启动成功
删除文件
C:\WINDOWS\SYSTEM32\CRSSS.EXE
每个盘下的autorun.inf niu.exe
E盘还有个autorun.exe
全部删除
启动改命为1.com的SRENG 病毒把程序删除
运行IFEO重定向劫持修复工具 删除所有的劫持
SRENG运行成功
删除病毒加载的驱动,病毒启动项目
修复显示隐藏文件
用WINDOWS清理助手搞了下,后来出问题了...
重置HOSTS文件说我没有这个权限...
创建用户帐户出错
安全模式无法修复
还好,我开始把GHOST文件改了名了,现在恢复了系统.
样本还在
请求高手测试,以解决这个病毒
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
……………… |
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bb187777c158418b051b923.html
昨晚搞定了
下了木马,不少呢
PS:早上给你发样本拉,你收到了么~~
日不懂啊 - 2007-9-28 16:46:00
| 引用: |
【孤独更可靠的贴子】| 引用: | 【日不懂啊的贴子】等了两天终于弄来了样本,听说卡饭这个样本早有人测试过。江民的斑竹,孤独更可靠,也测试了该病毒。
08测试版瑞星阻止了病毒的运行。关闭监控,运行成功。
现象NNN多:
IFEO劫持
破坏安全模式
恶意修改瑞星杀软,把杀毒的处理锁定在“不处理”
锁定任务管理器
关闭瑞星防火墙
重要!!!!删除.GHO文件(让中毒的无法还原)够畜生的
下载一堆木马,不记得了,反正N多
修改系统日期为2000年
修改显示隐藏文件夹名选项为:禽兽还有点怜悯之心,而我一点也没有,所以我不是禽兽。
下面处理病毒,开始还是蛮顺利的,后来可能操作失误,挂了(由于GHOST了,所以很多当时记录的文档米了555555)
开机加载冰刃,启动成功
删除文件
C:\WINDOWS\SYSTEM32\CRSSS.EXE
每个盘下的autorun.inf niu.exe
E盘还有个autorun.exe
全部删除
启动改命为1.com的SRENG 病毒把程序删除
运行IFEO重定向劫持修复工具 删除所有的劫持
SRENG运行成功
删除病毒加载的驱动,病毒启动项目
修复显示隐藏文件
用WINDOWS清理助手搞了下,后来出问题了...
重置HOSTS文件说我没有这个权限...
创建用户帐户出错
安全模式无法修复
还好,我开始把GHOST文件改了名了,现在恢复了系统.
样本还在
请求高手测试,以解决这个病毒
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
……………… |
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bb187777c158418b051b923.html
昨晚搞定了
下了木马,不少呢
PS:早上给你发样本拉,你收到了么~~
……………… |
收到然后搞的啊`~
日不懂啊 - 2007-9-28 16:50:00
猫叔啊,下载下来的木马倒不怕,好删,用阳光的重命名大法就可以搞定
但是,这个病毒破坏了我的计算机管理员用户的权限。安全模式修复不了,烦了555555
baohe - 2007-9-28 16:59:00
| 引用: |
【日不懂啊的贴子】猫叔啊,下载下来的木马倒不怕,好删,用阳光的重命名大法就可以搞定
但是,这个病毒破坏了我的计算机管理员用户的权限。安全模式修复不了,烦了555555
……………… |
附件是我的safeboot/minimal(XP系统)。不知你能不能用。
下载后,将后缀改为.reg,即可导入注册表。
附件:
1558472007928164849.txt
日不懂啊 - 2007-9-28 17:15:00
猫叔~~是修复安全模式的注册表?
我GHOST回来了
先收藏了
日不懂啊 - 2007-9-28 17:16:00
猫叔~~是修复安全模式的注册表?
我GHOST回来了
先收藏了
火云 - 2007-9-28 18:04:00
怎么处理这个病毒啊~~~~~~~我着椰油中的啊~~~~~~~~~~~~~要求方法啊~~~~~~~~~~~~
日不懂啊 - 2007-9-28 18:07:00
又搞了次,有点眉目了,搞定了
关键:
还是防护,平时做好备份,并记得把备份的名字改了
还有注册表也要备份
处理此病毒的方法就是删除病毒主体niu.exe crsss.exe
还有几个驱动和服务
后面的病毒做的破坏太多,手工修改比较困难,借助工具和注册表备份,才能处理掉
汗了汗了~~~
素就像天上的浮云 - 2007-9-28 18:11:00
干嘛不用PE,简单安全
日不懂啊 - 2007-9-28 18:14:00
| 引用: |
【素就像天上的浮云的贴子】干嘛不用PE,简单安全
……………… |
比较菜,不懂这个
冰刃改名为1.com可以运行
删除病毒的主体
yqlikaka - 2007-9-28 18:20:00
WINPE?
newcenturymoon - 2007-9-28 18:50:00
样本 发我一个 newcenturymoon1986@yahoo.com.cn 加密123
Enao2005 - 2007-9-28 19:14:00
niu.exe貌似之前就有过,感染EXE文件
样本可以发份给我吗?enao@people.com.cn 麻烦你了
没有梦想的男人 - 2007-9-28 19:46:00
我也试了下,arswp可以清完这个病毒以及下载的木马(arswp没被禁用可以直接运行).被更改的注册表可以用瑞星注册表修复等工具来修复.平时开着最新版本的瑞星这个病毒是运行不了的.
arswp下载地址:http://www.arswp.com/
日不懂啊 - 2007-10-4 13:56:00
| 引用: |
【Enao2005的贴子】niu.exe貌似之前就有过,感染EXE文件
样本可以发份给我吗?enao@people.com.cn 麻烦你了
……………… |
发了
mopery - 2007-10-4 15:07:00
sreng 有修复安全模式的功能...
无需导入注册表等..
电脑迷途菜鸟 - 2007-10-4 15:49:00
向版主学习
日不懂啊 - 2007-10-4 16:01:00
阳光出了分析了
问题解决
中招的朋友可以参考
http://hi.baidu.com/newcenturysun/blog/item/19c2bf64d3fc41f3f7365482.html
© 2000 - 2026 Rising Corp. Ltd.