瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 这个是什么病毒?【问题已经自行解决】
燃烧的冰棍 - 2007-10-4 0:25:00
恶意程序主程序
ffltuai.exe
kpuhdxi.exe
双击分区后提示“该分区具有自动播放....放行?阻止?”等选项,还会产生autorun.inf和edveokw.exe

问题已经自行解决,但是不晓得这个是什么病毒?详见后面的“解决过程”。
Aasetup - 2007-10-4 12:04:00
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
newcenturymoon - 2007-10-4 12:06:00
阻止
那个是AV终结者
如果电脑没有什么症状的话(能打开杀毒软件)
那么

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击那个有自动播放性质的盘(千万不要双击打开)
删除如下文件ffltuai.exe
kpuhdxi.exe
autorun.inf
edveokw.exe
燃烧的冰棍 - 2007-10-5 15:04:00
问题解决手记:

症状以及条件——

1.中毒原因是因为下载运行了一个软件。

2.中毒后杀软被阻止运行。

3.网页搜索ffltuai.exe和kpuhdxi.exe的话,浏览器会被强行关闭

4.资源管理器打开分区后,只有edveokw.exe和autorun.inf,电脑上“搜索”不到ffltuai.exe和kpuhdxi.exe,只在“C/WINDOWS”有相应的运行模块。“任务管理器”无法停止ffltuai.exe和kpuhdxi.exe的进程。无法进入“安全模式”。

5.“隐藏受保护的操作系统文件”选项被隐藏。

6.这台机器上是有GHOST备份文件的,可以还原系统。

7.手边有专杀工具盘。

解决思路以及过程——

A.还原系统。去掉“隐藏受保护的操作系统文件”选项前面的对号。

B.通过“资源管理器”删除下载运行的软件。

C.通过“资源管理器”复制autorun.inf到桌面,改后缀名为TXT,打开修改内容:去掉“自动运行”,把所有的标的指向由原来的edveokw.exe改为explorer.exe,仍然保存为autorun.inf。

D.运行autorun等专杀工具。

E.通过“资源管理器”复制autorun.inf到各分区替换原来的autorun.inf,替换过程中可以看到edveokw.exe自动消失。

F.升级杀软到最新并全面杀毒。

G.打开各个分区删除所有的autorun.inf。

后记:在解决这个问题过程中GHOST起了关键性的作用,建议最后一个分区6G,GHOST备份后复制到倒数第二个分区一份,然后在DOS下用分区工具把最后一个分区属性改为隐藏,平时用倒数第二个分区(由于最后一个分区已经隐藏,现在的“第二”就是最后一个分区)的GHOST备份,万一GHOST备份文件被感染,我们还可以格式化所有分区后,再把隐藏的分区释放出来,利用工具盘还原。

newcenturymoon - 2007-10-5 15:35:00
AV终结者...
燃烧的冰棍 - 2007-10-5 15:53:00
只用专杀不能解决分区的问题
gauuag - 2007-10-5 16:57:00
应该是江民说的“U盘寄生虫”。
燃烧的冰棍 - 2007-10-5 17:17:00
呵呵,网络上没有这个病毒的资料
燃烧的冰棍 - 2007-10-5 22:52:00
我判断这是一个新病毒变种,仅仅类似于AV变种和映象劫持。如果真像是你们说的“AV终结者”或者“U盘寄生虫”的话,可以提供些资料来证实吗?
newcenturymoon - 2007-10-5 22:55:00
http://hi.baidu.com/newcenturysun/blog/item/6f9edf13c86d3a20dd540108.html
因为他的文件名是随机的 所以你每次运行他的生成物文件名都不同 所以你当然百度不到
燃烧的冰棍 - 2007-10-5 23:08:00
”7个字母“的特征符合,但是我见到的这个是不能“结束进程”的,时间修改到2000年5月11号...........只是有个别地方沾边而已
newcenturymoon - 2007-10-5 23:12:00
修改时间 很容易 一个批处理就可以了
很多病毒都有这个功能
如果你还有病毒样本 可以发给我 我给你看看
燃烧的冰棍 - 2007-10-5 23:18:00
这个是我在青岛朋友家电脑上遇到的,我当时把edveokw.exe压缩保存了,刚才问了下,朋友已经删除了样本,遗憾。

不过,也有其他人遇到同样的问题http://post.baidu.com/f?kz=269964613,你问下他们看还有没有保留?
newcenturymoon - 2007-10-5 23:26:00
依照她的描述 就是AV终结者
newcenturymoon - 2007-10-5 23:28:00
而且你所谓的解决方法 也不能称作是解决方法 跟重装系统有什么不同呢?
燃烧的冰棍 - 2007-10-5 23:33:00
引用:
【newcenturymoon的贴子】依照她的描述 就是AV终结者
………………

令人郁闷的是:用“AV终结者”木马专杀工具竟然没有找到........

有反应的是:AUTO病毒专杀  U盘病毒专杀  AUTORUN病毒删除工具 
newcenturymoon - 2007-10-5 23:36:00
变种了贝 随便加个壳就能逃过杀毒软件的查杀
燃烧的冰棍 - 2007-10-5 23:45:00
貌似原来如彼?
燃烧的冰棍 - 2007-10-23 13:25:00
另外的解决办法:

1.此病毒更改了系统时间,首先将系统时间改过来。
2.打开IE后结束ffltuai.exe和kpuhdxi.exe的进程树(是进程树而不是进程,因为这两个进程互相保护,你无法结束进程。你试着结束其中的一个进程树,不行就结束另一个的进程树,保证已经将其进程结束)
3.网上去找个能修复进入安全模式的东东(不进行第一步会关IE,因为此病毒镜像劫持很多的exe和dll文件。如果你电脑里已经有了,可以不进行第一步)。
4.重启进入带命令提示符的安全模式。
5.执行如下操作:
cd c:\program files\common files\microsoft shared
del /s/f/q/a kpuhdxi.exe
cd c:\program files\common files\system
del /s/f/q/a ffltuai.exe
6.恢复注册表.执行regedit打开注册表后删除所有的带kpuhdxi和ffltuai的项。

sako - 2007-10-23 13:39:00
当然,av换了壳,专杀就没反应了,虽然是av病毒变种,但毕竟是另一个病毒,不同于原来.
ppoogood - 2008-2-4 22:50:00
55555...我也中了这个病毒...下面这是我用System Repair Engineer扫描的结果...
希望高手门能帮下我..

附件: 1011966200824223844.txt
天月来了 - 2008-2-4 22:58:00
引用:
【ppoogood的贴子】55555...我也中了这个病毒...下面这是我用System Repair Engineer扫描的结果...
希望高手门能帮下我..
………………

重开个新贴求助
1
查看完整版本: 这个是什么病毒?【问题已经自行解决】
© 2000 - 2026 Rising Corp. Ltd.