瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】"随机8位数".exe又更新了[5.25]```无语了``

12345   3  /  5  页   跳转

【原创】"随机8位数".exe又更新了[5.25]```无语了``

收藏
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 16:39 | 只看楼主 短消息 资料
字号: 21楼

引用:
【baohe的贴子】
那就对了。
用IceSword能搞死它。
我说过,手工杀这个毒是玩儿智力游戏吗。
变换一点点策略。
咱还不欺负它。它不是劫持Tiny和瑞星吗?我彻底关闭Tiny和瑞星的所有模块,再运行它。
它劫持我的IceSword?改名了。
它插进程?有IceSword还怕这招?
………………


老大,IS介入时候它会自己卸掉自身插入的模块D```

到他目录下删除的时候,删除不掉啊!``(删除后再生成?)

后来借用UL才删除了``T T
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-30 16:44 | 短消息 资料
字号: 22楼

引用:
【孤独更可靠的贴子】

老大,IS介入时候它会自己卸掉自身插入的模块D```

到他目录下删除的时候,删除不掉啊!``(删除后再生成?)

后来借用UL才删除了``T T


………………

不明白什么意思?谁卸掉谁的模块?
用IceSword删除这个病毒的病毒文件——————禁止进程创建;接着,一次强制删除、再来一次普通删除,搞掂!
后面的工作局面就打开了。
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 16:57 | 只看楼主 短消息 资料
字号: 23楼

引用:
【baohe的贴子】
不明白什么意思?谁卸掉谁的模块?
用IceSword删除这个病毒的病毒文件——————禁止进程创建;接着,一次强制删除、再来一次普通删除,搞掂!
后面的工作局面就打开了。

………………


IS打开时候那个8位随机.dll就撤退了``

所以进程里没有办法发现```

只能用IS的文件功能删除``删除时候,我测试是删除不掉``
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-30 17:06 | 短消息 资料
字号: 24楼

再看,到底啥样?
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-05-30 17:07 | 短消息 资料
字号: 25楼

如果删除后再创建,那是进程中还有模块创建了线程来保护。如果是这种情况,还是用IS可以发现的。
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 17:10 | 只看楼主 短消息 资料
字号: 26楼

引用:
【轩辕小聪的贴子】如果删除后再创建,那是进程中还有模块创建了线程来保护。如果是这种情况,还是用IS可以发现的。
………………


不知道

删除再创建由于并不用开线程,所以禁止线程创建并无效``

我想知道的是,是不是由那个注册表保护的?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-30 17:10 | 短消息 资料
字号: 27楼

那么应该在IS开了以后,再扫个日志,看看到底跑在哪?
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 17:13 | 只看楼主 短消息 资料
字号: 28楼

引用:
【天月来了的贴子】那么应该在IS开了以后,再扫个日志,看看到底跑在哪?
………………

SREng扫不到,它已经"暂时退出了"

事实上电脑重启又会自动加载``

Autoruns应该可以跟踪到``
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-30 17:23 | 短消息 资料
字号: 29楼

既然会自动加载,肯定应该在哪里还有“间谍”吧。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-30 17:23 | 短消息 资料
字号: 30楼

【回复“孤独更可靠”的帖子】

http://forum.ikaka.com/topic.asp?board=28&artid=8316851
gototop
 
<<上一主题|下一主题>>
12345   3  /  5  页   跳转
页面顶部
Powered by Discuz!NT