瑞星卡卡安全论坛

此毒有些个性。

中招后，SENG不能正常运行，中招者也就很难扫SRENG日志到论坛求助了。



IceSword，一般状况下也不能正常运行。

但采取点儿特殊手段，IceSword还是可以用的：
1、将IceSword拷贝到另一个地方（如：C盘根目录下）。
2、运行cmd。
3、键入下列命令：


此后，可用IceSword终止病毒及其相关进程：


删除病毒文件：


删除病毒添加的注册表项（图中红框）：



用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

精品文章:kaka12:  样本呢:kaka2:

:kaka6: 又是调戏大1111法
求助者一般不会这么折腾:kaka7:
都喜欢专杀直接类的

不过我领教了，猫叔！

我也中招了  怎么办
?249704887  我的QQ请您帮助我 好吗?  我传的是日志.

附件: 12.txt

1.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\t.exe
c:\windows\system32\0rc7.exe
c:\windows\fonts\a8b9bfd9.exe
c:\windows\fonts\xulmg.fon
c:\windows\fonts\vjfwv.fon
c:\windows\fonts\tpdeq.fon
c:\docume~1\admin\locals~1\temp\~ieocs.tmp
c:\windows\tasks\4fbac.job
c:\windows\tasks\4fbb.job



2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[OSEvent / OSEvent]    <C:\WINDOWS\system32\t.exe>
[Mefry / Mefry]    <C:\WINDOWS\system32\0rc7.exe>
[2E2BEE13 / 2E2BEE13]    <C:\WINDOWS\Fonts\A8B9BFD9.EXE -k>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[xulmg / xulmg]    <\??\C:\WINDOWS\Fonts\xulmg.fon>
[vjfwv / vjfwv]    <\??\C:\WINDOWS\Fonts\vjfwv.fon>
[tpdeq / tpdeq]    <\??\C:\WINDOWS\Fonts\tpdeq.fon>
[SafeSysDrv / SafeSysDrv]    <\??\C:\DOCUME~1\admin\LOCALS~1\Temp\~ieocs.tmp>

**************以上分析报告由SREngLog分析助手提供******************
分析：小狮子
时间：2009-6-12
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

继续......进入C:\Windows\tasks 删除那2个计划任务......

谢谢师父补充

这图

怎么弄出来的？

一把冰刃

一把autorun

强

又学一招  感谢LZ

有点狠.但对付比人狠的病毒就不用手软了.
呵呵,感谢分享哦~

我很好奇  为什么SRENG  不能运行 排除了病毒通过修改注册表来限制SRENG 的运行之外 难道是病毒本身能够导致SRENG  是如何实现的,终止SRENG的进程? 还是通过其它的方式?  期待大家的答案!

貌似感染非分区文件

附件: ctfmn.rar

这也太复杂了，瑞星出一个专杀不就得了，不可能都如你们一样是个电脑高手。

看你们说的不明白，我已经重装了三次，但每次运行exe文件这个ctfmn.exe一定出来，还带两个其他的文件bjd.exe还有一个忘记了，瑞星与防火墙都成摆设了。

顶楼上的
这么久的病毒了为什么还是没有看到专杀，很是奇怪