| 引用: |
【日不懂啊的贴子】等了两天终于弄来了样本,听说卡饭这个样本早有人测试过。江民的斑竹,孤独更可靠,也测试了该病毒。
08测试版瑞星阻止了病毒的运行。关闭监控,运行成功。
现象NNN多:
IFEO劫持
破坏安全模式
恶意修改瑞星杀软,把杀毒的处理锁定在“不处理”
锁定任务管理器
关闭瑞星防火墙
重要!!!!删除.GHO文件(让中毒的无法还原)够畜生的
下载一堆木马,不记得了,反正N多
修改系统日期为2000年
修改显示隐藏文件夹名选项为:禽兽还有点怜悯之心,而我一点也没有,所以我不是禽兽。
下面处理病毒,开始还是蛮顺利的,后来可能操作失误,挂了(由于GHOST了,所以很多当时记录的文档米了555555)
开机加载冰刃,启动成功
删除文件
C:\WINDOWS\SYSTEM32\CRSSS.EXE
每个盘下的autorun.inf niu.exe
E盘还有个autorun.exe
全部删除
启动改命为1.com的SRENG 病毒把程序删除
运行IFEO重定向劫持修复工具 删除所有的劫持
SRENG运行成功
删除病毒加载的驱动,病毒启动项目
修复显示隐藏文件
用WINDOWS清理助手搞了下,后来出问题了...
重置HOSTS文件说我没有这个权限...
创建用户帐户出错
安全模式无法修复
还好,我开始把GHOST文件改了名了,现在恢复了系统.
样本还在
请求高手测试,以解决这个病毒
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
……………… |
很俗气的病毒。此毒模仿AV终结者,还没模仿好。
个人感觉它比原版的AV终结者差一大截子。
首先是隐蔽性太差,中招者的进程列表中N多个reg.exe进程(估计是此毒每隔几秒就重写病毒主体文件所致)。
其次,网上说的:此毒还会下载N多木马到系统中。运行此毒后,我等了足足半个小时,一个木马也没下来。汗!
用IceSword禁止进程创建。结束crsss.exe、iexplore.exe、N个reg.exe、N个conime.exe进程。删除病毒主体文件(图),用Tiny的Track'nReverse恢复那些被插入代码的htm文件,删除IFEO劫持项和病毒加载项。搞掂。
至于什么“破坏隐藏文件显示”、“破坏安全模式”等下三烂的招数,处理干净病毒后,用原来的注册表备份恢复一下即可。
注意:此毒删除硬盘上的.gho。如果GHOST备份只做在硬盘中,中招后,你的GHOST备份就死翘翘了。汗!
