瑞星卡卡安全论坛

引用:

【UFO不幸外人的贴子】还有病毒样本是我提供给蓝天的……………………因为不知道怎么给你…… ………………

你很少上呀

关注的说..

唉！无砖可抛呀！

惭愧！惭愧！

猫叔能给个样本嘛..
qcqyt1983@163.com
谢谢了.

这毒 等于“落雪”吗？具体删除和恢复系统及相关影响的方法能发到邮箱：leshangyuan@163.com吗？发上来也行。家里的电脑爱的东西多，不舍得全格啊。（连我的GBA模拟器都感染了。。。。）

引用:

【baohe的贴子】 汗！ 我是开着瑞星玩儿的。 病毒、瑞星————二者相安无事。 ………………

哈哈，这东西没有任何启动项啊，依附被感染程序执行的

前几个星期有遇到个，最近可能又疯狂更新了~

引用:

【孤独更可靠的贴子】 哈哈，这东西没有任何启动项啊，依附被感染程序执行的 前几个星期有遇到个，最近可能又疯狂更新了~ ………………

有启动项。
如果用恰当的工具（具体的工具名就不说了）阻止病毒程序LSASS.EXE和SMSS.EXE运行，重启系统后，那工具会报告C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe试图加载运行。用该工具阻止~.exe运行，即可捉到~.exe这个“鬼”。
此时，用SRENG，可见“启动文件夹”栏下有指向C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe的内容。
我推测：这个启动加载项可能是关机前写入，或者是每次系统启动时重新写入；待~.exe加载运行并完成其任务后，该加载项连同那个~.exe又被病毒程序删除了。
所以，如果不用特殊手段，一般情况下，即使SRENG侥幸能够运行，中毒的用户用SRENG也扫不到此毒的加载项。

看来那“启动文件夹”平时还应该用主动防御禁掉才好。

规则里不能忘。

这段时间考试，课程设计太多了，都没有上卡卡来学习，帮助大家解决问题，惭愧啊……一上来就看到猫叔的帖子，最近这个病毒就是有点厉害，以前阳光分析过的，但我最近（1-2星期前）在我一同学电脑上发现这个病毒的变种，行为完全没有变，可能是重新把病毒编译，加壳了一次，最新的卡巴并没有扫描出来，但是运行带毒的文件主动防御会提示，检测进程信息，汗，还真的是随机感染EXE文件，随机的感染RAR,ZIP文件。中了这个东东，基本没救了，所以直接叫同学全盘格了重装，重装是好了，2个小时后又发现了病毒踪影，观测进程，有一个PING.EXE的进程没2秒左右出现一次，突然想起来，病毒还有ARP欺骗的功能（我们学校局域网），所有重装后依然会出现中毒的情况，所以，如果在局域网的朋友们中了这个病毒，全盘格了重装之前一定要断掉网线（因为你不能保证没人跟你一样倒霉）！并且装上ARP防火墙，最好先于杀软安装

楼主辛苦了，不过可能漏了一点：
该病毒会遍历盘内所有的网页文件，并插入一个经过加密的网址，可能是下载病毒的！！！