对付IFEO劫持类病毒，瑞星的“橙8专杀”有待改进

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-06-10 17:32 \| 短消息资料字号：小中大 11楼【回复“baohe”的帖子】老大,你是不是在注册表RUN项写入C:\IS启动的? 没有影响么?IS不会被最小化?
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-10 17:34 | 只看楼主 短消息资料

字号：小中大 12楼

引用:

【逍遥浪子45的贴子】我也想找样本你玩啊,猫叔,但那位MM能进入安全模式--在安全模式强行安装成功了NOD,居然连本体以及AUTORUN里面的东西全部给清理掉了...我去远程的时候就解决了那个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options给删除了以及清理了残留的病毒文件...
………………

让MM努力找找吧
要.exe
这年头，变种多，且速度快。
不能以以往的老经验考虑问题了。
有样本，才有可能能说出个三、六、九来。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-10 17:36 | 只看楼主 短消息资料

字号：小中大 13楼

引用:

【孤独更可靠的贴子】【回复“baohe”的帖子】

老大,你是不是在注册表RUN项写入C:\IS启动的?

没有影响么?IS不会被最小化?
………………

RUN？
估计没戏。
想想别的法子吧。
那些“优良”病毒的启动加载方式————可以模仿。
这类IFEO＋关闭窗口的DD，并不像想象的那么聪明。至少，目前为止，凭我的智商还能对付它们。

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-06-10 17:42 | 短消息资料

字号：小中大 14楼

引用:

【baohe的贴子】
RUN？
估计没戏。
想想别的法子吧。
那些“优良”病毒的启动加载方式————可以模仿。
这类IFEO＋关闭窗口的DD，并不像想象的那么聪明。至少，目前为止，凭我的智商还能对付它们。
………………

知道了`

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-06-10 17:42 \| 短消息资料字号：小中大 15楼是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~ 在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个! [AutoRun] open=xywrebh.exe shell\open=打开(&O) shell\open\Command=xywrebh.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=xywrebh.exe 没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了..... 我郁闷啊.........
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-10 17:45 | 只看楼主 短消息资料

字号：小中大 16楼

引用:

【逍遥浪子45的贴子】是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~

在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个!

[AutoRun]
open=xywrebh.exe
shell\open=打开(&O)
shell\open\Command=xywrebh.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xywrebh.exe

没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了.....

我郁闷啊.........
………………

xywrebh.exe————有希望啊！老大！
让MM用WINRAR在非系统分区根目录下找（有可能在一个RUNAUTO~的古怪文件夹中）

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-06-10 17:51 \| 短消息资料字号：小中大 17楼可能可能还在那怪异的文件夹里呢。猫猫的这个冰刃启动想法，那天好象漏出点，我还有印象呢。呵呵！！！！对于求助的不建议这个。还是DOS算了。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-06-10 17:52 | 短消息资料

字号：小中大 18楼

引用:

【baohe的贴子】

引用:

【逍遥浪子45的贴子】是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~

在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个!

[AutoRun]
open=xywrebh.exe
shell\open=打开(&O)
shell\open\Command=xywrebh.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xywrebh.exe

没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了.....

我郁闷啊.........
………………

xywrebh.exe————有希望啊！老大！
让MM用WINRAR在非系统分区根目录下找（有可能在一个RUNAUTO~的古怪文件夹中）
………………

老大,以前我网盘的那个吧``

双进程守护的``

貌似很坚强```

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-10 17:56 | 只看楼主 短消息资料

字号：小中大 19楼

引用:

【天月来了的贴子】可能可能

还在那怪异的文件夹里呢。

猫猫的这个冰刃启动想法，那天好象漏出点，我还有印象呢。

呵呵！！！！

对于求助的不建议这个。

还是DOS算了。

………………

中毒环境下，启动IS的方法不止一种。甚至可以利用早先已经灭掉的病毒的“壳子”（病毒文件删除干净了，但保留了其加载项）。
另外，这样启动IS后，动作也不能太慢。时间，当然够用。但如果动作太“肉”了————病毒一样将IS的窗口关到最小。

a8888888 初生襁褓狮帖子:150 注册: 2007-02-15 来自:	发表于： 2007-06-10 18:00 \| 短消息资料字号：小中大 20楼太好了附件: 文件名:8450972007610175042.gif 下载次数:154 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-10 18:00:55 描述:
a8888888 初生襁褓狮帖子:150 注册: 2007-02-15 来自:

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 对付IFEO劫持类病毒，瑞星的“橙8专杀”有待改进

对付IFEO劫持类病毒，瑞星的“橙8专杀”有待改进

附件:

文件名:8450972007610175042.gif 下载次数:154 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(541322); 上传时间:2007-6-10 18:00:55 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛对付IFEO劫持类病毒，瑞星的“橙8专杀”有待改进

文件名:8450972007610175042.gif

下载次数:154

文件类型:image/pjpeg

文件大小:

上传时间:2007-6-10 18:00:55

描述: