还是没有收到样本 啊=>kxzhmc500@sina.com

引用:

【闪电风暴的贴子】还是没有收到样本 啊=>kxzhmc500@sina.com ………………

引用:

【baohe的贴子】 反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项并结束这些程序的进程；重写病毒自己的加载项。 ………………

猫叔好多错别字O

学习下了

没有楼主所说的那么好杀。。。

感染过后的文件可以用李罡版的威金杀毒清一次。。。

ghost.exe染上了。。莫办法。。

该病毒好像已经插入到explorer.exe里面去了。。。

我反反复复杀了好几次。。。

结果登陆时出现未读邮件。。。一点击。。。NND又跑来了。。

此毒好像对服务器版的系统莫多大反应。。

没有楼主所说的那么好杀。。。

感染过后的文件先用批处理清一遍。
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
start c:\up\del.cmd

taskkill /f /im fuckjacks.exe
taskkill /f /im rdpclip.exe
taskkill /f /im SOUNDMAN.EXE
attrib c:\setup.exe -s -r -h
attrib c:\windows\system32\fuckjacks.exe -s -r -h
attrib c:\autorun.inf -s -r -h

del/s/f/q c:\recycled\*.*
del/s/f/q d:\recycled\*.*
del/s/f/q e:\recycled\*.*
del/s/f/q f:\recycled\*.*
del/s/f/q/q c:\windows\Prefetch\*.txt
del/a/s/f/q "C:\Documents and Settings\Administrator\Cookies\*.txt"
del/s/f/q "C:\Program Files\kingsoft\*.*"
c:
cd
del/a/s/f/q c:\myhis\*.exe
del/s/f/q c:\windows\system32\msvce32.exe
del/s/f/q c:\setup.exe
del/a/s/f/q autorun.inf
del/a/s/f/q desktop.ini
del/a/s/f/q _desktop.ini
del/a/s/f/q index.dat
del/a/s/f/q inf02
del/a/s/f/q gamesetup.exe
del/a/s/f/q ghost.exe
后面的根目录自己加。。。



再用用李罡版的威金杀毒清一次。。。

有ghost.exe文件的根目录或文件。。程序都会染上了。。杀不掉。。。莫办法。。

该病毒好像已经插入到explorer.exe里面去了。。。

我反反复复杀了好几次。。。

结果登陆时出现未读邮件。。。一点击。。。NND又跑来了。。

此毒好像对服务器版的系统莫多大反应。。

引用:

【JayFaye的贴子】早上有空，对这个病毒脱了一下壳，OD了一下，更新一点 病毒会搜索进程查找并结束窗口信息中包含如下信息的进程： QQKav QQAV VirusScan Symantec AntiVirus iDuba esteem procs Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword ************************** 同时直接结束如下这些进程（注意最后三个和Viking对上了，呵呵）： Mcshield.exe VstskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe RavmondD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl123.exe ************************** 病毒会删除上面提到的反病毒软件的注册表键值，同时删除雅虎助手的注册表 ************************** 搜索局域网共享，利用暴力破解局域网用户密码方式试图传播自己，成功后将以GameSetup.exe的形式传播 调用Net.exe和Net1.exe删除admin$和IPC$共享 记录键盘，盗取QQ，记录信息会保存到C:\test.txt（同时会记录成功连接的IP共享信息）中 ************************** 感染EXE、SCR、PIF、COM文件，同时删除GHOST备份（*.gho） ………………

太狠了,编这个木马的人什么都想到了...他的意思好象是:威金算什么,我来
居然还删除GHOST的备份......

【回复“艾玛”的帖子】字的颜色改下。

什么时候能不用手工安全清干净饿，这么先进的病毒我还不知是从哪里中的！
好像不止删除备份，还删除杀毒软件的安装程序！！！

引用:

【涅磐86970的贴子】 猫叔好多错别字O ………………

我想猫叔是故意的