今天碰到了个有点难度的病毒，挑战一下极限吧 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛今天碰到了个有点难度的病毒，挑战一下极限吧

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[求助] 今天碰到了个有点难度的病毒，挑战一下极限吧

jasonwood612 初生襁褓狮帖子:4 注册: 2008-07-12 来自:	发表于： 2008-07-12 06:41 \| 只看楼主短消息资料字号：小中大 1楼今天碰到了个有点难度的病毒，挑战一下极限吧今天确实碰到了有点难度的病毒，之前手动杀过不少病毒，从来不用上网求助，但这一个我忙了整个通宵，还是搞不定，找好请教高手了首先是感觉到不对劲就有点迟了，然后立刻系统还原，发现没用，这时候开始菜单可以打开，但无法点其中的任何内容，于是msconfig看不了，注册表打不开，任务管理器一打开就关闭，ie一打开就关闭，所有杀毒软件相关的东西一点就删除感觉很像AV终结者，于是就想了些办法，安全模式是进不去的，每次在读346bus.sys的时候就重新启动了，从别人机器上下了Prcmgr，强行关闭了一些进程，再杀掉，重启若干次后，只剩下keicn32.exe去不掉上网查了相关内容，下载了N个专杀，没用，只好用DelBox强行删删看，经过一番折腾，目前症状如下： 1：安全模式进不去 2：杀毒软件已不是全部打不开，冰刃和AVP就可以打开，AV终结者等仍然是打开一个删除一个，所有能打开的杀毒工具扫描后都是无病毒，Image File Execution Options下没有找到与杀毒软件关联的项，但注册表中ShellExecuteHooks提示无法打开 3：ie能打开，用起来和平常一样，但打开某些网页，特别是下载时，自动跳转到cnyahoo，这个以前遇到过，但完全不一样，以前是任何与杀毒相关的网页全部跳转，但这次不是，360的网站和瑞星的网站照样打开，下载瑞星听诊器的时候才跳转，不从网页下载，直接复制了从flashget下载也一样跳转 4：开始菜单已经没问题，注册表可以打开，查看文件关联，发现没有问题 5：输入msconfig时，内存报错，不能为written，右键查看我的电脑属性时，也是这样 6：任务管理器已经不自动关闭了，里面进程相当干净，rundll32的位置正确，ATI2EVXX.EXE可以被关闭，查看了详细以后发现该进程确实是在管理ATI显卡的hotkey，也不像是病毒，但可疑的是ATI2EVXX.EXE病毒专杀工具属于一打开就删除的系列虽然不太影响电脑使用了，但明显有残留，而且不止一个，问题是找不到在哪里，而且也不知道怎么解决，任何专杀工具改名是没有用的，应该是分析了里面的详细信息的，所有通常意义上的办法我基本都尝试过了，所以才说有点难度，而且安全模式始终进不去，用注册表修复了还是一样进不去瑞星听诊器不用改名都可以打开，扫了一份报告，发在附件里，拜托高手帮忙了其实在杀来杀去的时候我就知道系统已经给我杀乱了，即使问题解决我也会重装的，但总觉得被病毒逼到重装是非常孬种的行为，与病毒斗法才其乐无穷嘛，所以，一定要先解决了病毒用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2) 附件: 文件名:瑞星听诊信息.rar 下载次数:181 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-12 6:41:05 描述:rar jasonwood612 最后编辑于 2008-07-12 07:05:02
jasonwood612 初生襁褓狮帖子:4 注册: 2008-07-12 来自:	分享到：

jasonwood612 初生襁褓狮帖子:4 注册: 2008-07-12 来自:	发表于： 2008-07-12 06:42 \| 只看楼主短消息资料字号：小中大 2楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧还有，目前所有的系统还原点都已经消失，SRE是打不开的，瑞星听诊器没有问题 jasonwood612 最后编辑于 2008-07-12 06:51:19
jasonwood612 初生襁褓狮帖子:4 注册: 2008-07-12 来自:

坏＠小子拙长孩提狮帖子:121 注册: 2007-12-02 来自:海南	发表于： 2008-07-12 08:26 \| 短消息资料字号：小中大 3楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧把SRE的扩展名改为***.COM 试试
坏＠小子拙长孩提狮帖子:121 注册: 2007-12-02 来自:海南

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-07-12 08:41 \| 短消息资料字号：小中大 4楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧删除 C:\WINDOWS\TEMP\_TMP.BAT C:\WINDOWS\SYSTEM32\8E56BFC8.EXE
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

jasonwood612 初生襁褓狮帖子:4 注册: 2008-07-12 来自:	发表于： 2008-07-12 18:36 \| 只看楼主短消息资料字号：小中大 5楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧回2楼，怎么改名都不行的，病毒应该是检测了大致内容和版本信息的回3楼，已经删除，问题依旧，目前“我的电脑”图标已经变为不可识别文件的样子，但双击仍可直接进
jasonwood612 初生襁褓狮帖子:4 注册: 2008-07-12 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-07-12 18:43 \| 短消息资料字号：小中大 6楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧哈！！！刚见一个样本可能损坏的这又来一个了等会如果现在还异常，最好扫个最新听诊器日志来百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2008-07-12 18:50 \| 短消息资料字号：小中大 7楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧你中的是新型AV终结者，即360所说的JAVQHC。QQ中也有此毒。你中的这个毒和我见的似乎有点不同。你可以叫天月来看看。我看不出来。建议你用我给的syscheck扫描一下。呵呵，天月来了。附件: 文件名:改造的SysCheck.rar 下载次数:166 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-12 18:51:04 描述:rar byxxdrls 最后编辑于 2008-07-12 18:51:04
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-07-12 18:53 \| 短消息资料字号：小中大 8楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧用解压工具WinRAR依路径打开找下面文件，复制压缩后发来。急需要样本。 c:\windows\system32\otsblfgdm.dll c:\windows\system32\dpvvoxmh.dll c:\windows\system32\bnqcwtcr.dll c:\windows\system32\msobjstl.dll c:\windows\system32\rasdlgcq.dll c:\windows\system32\ksuserfy.dll c:\windows\system32\slbiopfs2.dll c:\windows\system32\kbdswjr.dll c:\windows\system32\catsrvwl.dll c:\windows\system32\adsntzt.dll c:\windows\system32\bootvidgj.dll c:\windows\system32\cryptuiwlqx.dll c:\windows\system32\tudouupload.dll d:\software\qq\wsock32.dll d:\software\qq\vazism.dll c:\windows\system32\glktdxyve.dll c:\windows\system32\sxwfpjkhq.dll 文件一个不漏复制好后这样删除：这贴35楼下载超级巡警暴力文件删除器： http://bbs.ikaka.com/showtopic.aspx?topicid=8442813&page=4 记住只能下载我那个附件的，官网仍然会被病毒关闭删除的。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2008-07-12 18:55 \| 短消息资料字号：小中大 9楼回复：今天碰到了个有点难度的病毒，挑战一下极限吧天月看听诊器的日志挺有经验。佩服。是不是听诊器也升级了？似乎也过滤了正常的系统文件。 byxxdrls 最后编辑于 2008-07-12 19:00:39
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-07-12 18:57 \| 短消息资料字号：小中大 10楼回复 9F byxxdrls 的帖子 d:\software\qq\vazism.dll 楼主请压缩完所有文件，操作删除完文件后，立即重启电脑，扫描SRENG日志来打扫残余病毒天月来了最后编辑于 2008-07-12 19:01:16 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT