【原创】与newcenturymoon版主,关于***.pri又有新的变种,查杀方法如下 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】与newcenturymoon版主,关于*.pri又有新的变种,查杀方法如下**

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【原创】与newcenturymoon版主,关于***.pri又有新的变种,查杀方法如下

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:56 \| 只看楼主短消息资料字号：小中大 1楼【原创】与newcenturymoon版主,关于***.pri又有新的变种,查杀方法如下病毒名称:explorer.exe 大小: 23612 字节修改时间: 2007年9月1日, 8:37:12 MD5: 38A9B8D57D84403ABF8C8E0585261D7F SHA1: 7E4D0F013E6D90316888CF4B09EA762ECF4CD702 CRC32: 75B5DFA 该病毒又添加了流氓软件和盗号木马强制关闭杀毒软件. 以下为SReng日志扫描分析: 中毒症状: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <DbgHlp32><C:\windows\DbgHlp32.exe> [] <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> [] <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe> [] <DiskMan32><C:\windows\DiskMan32.exe> [] <MsIMMs32><C:\windows\MsIMMs32.exe> [] <avpqqsg><C:\Program Files\NetMeeting\avpqqsg.exe> [] <ravchdmon><C:\Program Files\NetMeeting\ravchdmon.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <twin><C:\windows\system32\ctfnom.exe> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><jzipri.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\windows\system32\mxbman.dll> [] <{84123FF1-8371-9834-9021-184518451FA8}><C:\windows\system32\qjhpri.dll> [] <{52311A42-AC1B-158F-FD32-5674345F23A5}><C:\windows\system32\dhepri.dll> [] <{66368135-64FA-BC34-DA32-DCF4FD431C96}><C:\windows\system32\qhfpri.dll> [] <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\windows\system32\jzipri.dll> [] 服务添加: [942D374 / 942D374][Stopped/Auto Start] <C:\windows\system32\5177F6E8.EXE -d><Microsoft Corporation> 驱动添加: [khoekej / khoekej][Running/Boot Start] <\SystemRoot\\SystemRoot\System32\drivers\khoekej.sys><N/A> [1ezyw9e3 / 1ezyw9e3][Running/Auto Start] <\??\C:\windows\system32\drivers\1ezyw9e3.sys><N/A> 随机8位 [h2ouwg / h2ouwg][Running/Boot Start] <\SystemRoot\System32\DRIVERS\h2ouwg.sys><N/A> 随机6位 [acpidisk / acpidisk][Running/Auto Start] <\??\C:\windows\system32\drivers\acpidisk.sys><N/A> 病毒插入正常进程: [PID: 848 / SYSTEM][\??\C:\windows\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [PID: 872 / SYSTEM][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [C:\windows\system32\winlib .dll] [N/A, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] [PID: 916 / SYSTEM][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [PID: 928 / SYSTEM][C:\windows\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [PID: 1080 / SYSTEM][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [C:\windows\system32\MsIMMs32.dll] [N/A, ] [C:\windows\system32\DiskMan32.dll] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\kulionzx.dll] [N/A, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\system32\DbgHlp32.dll] [N/A, ] [C:\windows\video.dll] [N/A, ] [C:\windows\kulionwl.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] [C:\windows\kulionwm.dll] [N/A, ] [C:\windows\kulionrx.dll] [N/A, ] [PID: 1828 / 侯觉][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\kulionwl.dll] [N/A, ] [C:\Program Files\NetMeeting\ravmsmon.dat] [N/A, ] [C:\windows\video.dll] [N/A, ] [C:\windows\system32\DbgHlp32.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\kulionzx.dll] [N/A, ] [C:\Program Files\NetMeeting\ravztmon.dat] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\DiskMan32.dll] [N/A, ] [C:\windows\system32\MsIMMs32.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] [C:\windows\kulionwm.dll] [N/A, ] [C:\Program Files\NetMeeting\avpqqsg.dat] [N/A, ] [C:\Program Files\NetMeeting\ravchdmon.dat] [N/A, ] [C:\windows\kulionrx.dll] [N/A, ] 不一一列举了查杀方法如下: 利用的工具是IceSword和SReng [C:\windows\system32\winlib .dll] [N/A, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] 关于这类病毒可以用newcenturymoon版主给的专杀是360发布的下载地址 http://dl.360safe.com/killer_qhbpri.exe 如果杀不了如下: 可以借助IceSword进行强行删除这里就不说了清除其它病毒步骤如下: 图1: 结束下列进程附件: 文件名:635621200791115847.jpg 下载次数:257 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:56:20 描述: 2007-09-01 12:10:56
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	分享到：

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:57 \| 只看楼主短消息资料字号：小中大 2楼图1:结束下列进程附件: 文件名:635621200791114627.jpg 下载次数:246 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:57:05 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:58 \| 只看楼主短消息资料字号：小中大 3楼利用SReng清除启动. 因为进程方面没有回写,可以直接结束掉附件: 文件名:635621200791114754.jpg 下载次数:277 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:58:33 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:59 \| 只看楼主短消息资料字号：小中大 4楼清除掉继续利用IceSword 附件: 文件名:635621200791114841.jpg 下载次数:248 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:59:20 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:00 \| 只看楼主短消息资料字号：小中大 5楼然后机子重启下.删除下列病毒.还有需要删的如下附件: 文件名:635621200791114950.jpg 下载次数:244 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 12:00:29 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:03 \| 只看楼主短消息资料字号：小中大 6楼 C:\windows\system32\350AED48.DLL C:\windows\system32\MsIMMs32.dll C:\windows\system32\DiskMan32.dll C:\windows\kulionzx.dll C:\windows\system32\mxbman.dll C:\windows\system32\DbgHlp32.dll C:\windows\video.dll C:\windows\kulionwl.dll C:\windows\kulionwm.dll C:\windows\kulionrx.dll ravmsmon.dat ravztmon.dat avpqqsg.dat 希望能帮上大家谢谢
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:03 \| 只看楼主短消息资料字号：小中大 7楼 C:\windows\system32\350AED48.DLL C:\windows\system32\MsIMMs32.dll C:\windows\system32\DiskMan32.dll C:\windows\kulionzx.dll C:\windows\system32\mxbman.dll C:\windows\system32\DbgHlp32.dll C:\windows\video.dll C:\windows\kulionwl.dll C:\windows\kulionwm.dll C:\windows\kulionrx.dll ravmsmon.dat ravztmon.dat avpqqsg.dat 希望能帮上大家谢谢
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:05 \| 只看楼主短消息资料字号：小中大 8楼 [1ezyw9e3 / 1ezyw9e3][Running/Auto Start] <\??\C:\windows\system32\drivers\1ezyw9e3.sys><N/A> 随机8位 [h2ouwg / h2ouwg][Running/Boot Start] <\SystemRoot\System32\DRIVERS\h2ouwg.sys><N/A> 随机6位
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:07 \| 只看楼主短消息资料字号：小中大 9楼漏图了图1没贴上去附件: 文件名:635621200791115623.jpg 下载次数:268 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 12:07:01 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-09-01 12:11 \| 短消息资料字号：小中大 10楼你的帖子里C:\windows\system32\5177F6E8.EXE 这个是所有木马和流氓软件的源头所有的那些东西都是他下载的那个pri只是他下载的一种木马所以不能叫pri变种了我说的也只是 pri 这一种东西没有涉及其他流氓软件和病毒因为每个下载器下载的东西都不同请把C:\windows\system32\5177F6E8.EXE 这个文件压缩加密123发给我谢谢 newcenturymoon1986@yahoo.com.cn
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT