3.pif 手工不完整清除 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 3.pif 手工不完整清除

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] 3.pif 手工不完整清除

叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	发表于： 2008-09-29 09:35 \| 只看楼主短消息资料字号：小中大 1楼 3.pif 手工不完整清除从半桶水那贴解压得到 Snap1.jpg (60.19 K) 2008-9-29 9:35:01 运行其中一个 MS-DOS程序。用TINY 追踪其行为 Snap2.jpg (34.08 K) 2008-9-29 9:35:01 Snap3.jpg (34.57 K) 2008-9-29 9:35:01 Snap4.jpg (115.96 K) 2008-9-29 9:35:01 Snap5.jpg (51.40 K) 2008-9-29 9:35:01 我虚拟机有联网，运行过程中，有程序试图联网， Snap6.jpg (16.15 K) 2008-9-29 9:35:01 连续有 9个之多，之后在桌面创建以下两个文件 Snap12.jpg (44.69 K) 2008-9-29 9:35:01 等待了几分钟，似乎没有联网活动我就切网尝试查杀。运行任务管理器还有大部分安全工具都无法用了，应该是被劫持了。 Snap13.jpg (17.61 K) 2008-9-29 9:35:01 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; CIBA; TheWorld) 附件: 文件名:Snap6.jpg 下载次数:840 文件类型:image/pjpeg 文件大小: 上传时间:2008-9-29 9:35:01 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 叶陵君最后编辑于 2008-09-29 09:36:01
叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	分享到：

叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	发表于： 2008-09-29 09:37 \| 只看楼主短消息资料字号：小中大 2楼回复: 3.pif 手工不完整清除两个驱动，先转到服务项，停止运行再删除。 Snap17.jpg (87.55 K) 2008-9-29 9:46:50 删除文件 Snap18.jpg (14.00 K) 2008-9-29 9:46:50 下面劫持项都恢复下 Snap19.jpg (40.52 K) 2008-9-29 9:46:50 恢复完毕，安全工具都可以用了 Snap20.jpg (75.70 K) 2008-9-29 9:46:50 现在来替换下 wuauclt.exe 直接替换不行，我从实机拷了一个，把dllcache 和system32目录下都删除掉，再复制进去就行了。 C:\ 还有 C:\Documents and Settings 下的隐藏文件我们通过常规的显隐藏是看不到的改个注册表就行了（偷懒复制下）关于在文件选项设置系统文件可显，还是无法看到，可以修改注册表打开注册表，按“ctrl+F”，查找SHOWALL，即定位到以下注册表位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 键值名：CheckedValue 数据类型：dword 修改值：1 改完后： Snap23.jpg (79.68 K) 2008-9-29 9:46:50 Snap24.jpg (63.61 K) 2008-9-29 9:46:50 发现无法删除干净，会再生，应该是 C:\Documents and Settings 这底下东东作怪过去先把它们干掉，再回来删，就不再生了 Snap25.jpg (48.16 K) 2008-9-29 9:46:50 重启后，就没有病毒迹象了。我应该还有一些残余动态链接库或其他没删干净，留给你们研究了。附件: 文件名:Snap26.jpg 下载次数:793 文件类型:image/pjpeg 文件大小: 上传时间:2008-9-29 9:46:50 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 本帖被评分 3 次本帖被评分 3 次叶陵君最后编辑于 2008-09-29 09:46:50
叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:

逆风轻扬拙长孩提狮帖子:79 注册: 2007-01-29 来自:	发表于： 2008-09-29 09:57 \| 短消息资料字号：小中大 3楼回复：3.pif 手工不完整清除学习啦。
逆风轻扬拙长孩提狮帖子:79 注册: 2007-01-29 来自:

半桶水2007 初生襁褓狮帖子:50 注册: 2008-09-18 来自:	发表于： 2008-09-29 12:57 \| 短消息资料字号：小中大 4楼回复：3.pif 手工不完整清除不知道启动项里的那个清掉了没有，那个文件删除不掉。
半桶水2007 初生襁褓狮帖子:50 注册: 2008-09-18 来自:

叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	发表于： 2008-09-29 13:14 \| 只看楼主短消息资料字号：小中大 5楼回复：3.pif 手工不完整清除你是指哪个？说清楚点？
叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-09-29 14:10 \| 短消息资料字号：小中大 6楼回复：3.pif 手工不完整清除如果系统盘是NTFS的，那么就是没法删除启动项里的3.pif 的。因为在NTFS的系统盘里，这个病毒文件是被病毒恶意取消权限的，只保留有读取权限，没改写权限和删除权限的。想删除，必须自己手工添加相应的权限才行。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	发表于： 2008-09-29 14:27 \| 只看楼主短消息资料字号：小中大 7楼回复：3.pif 手工不完整清除应该是用 cacls.exe 来调试权限的
叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:

心灵独奏初生襁褓狮帖子:6 注册: 2008-09-29 来自:	发表于： 2008-09-29 17:17 \| 短消息资料字号：小中大 8楼回复：3.pif 手工不完整清除我单位里很多机器现在都中这个病毒，很麻烦，到现在都搞不掂
心灵独奏初生襁褓狮帖子:6 注册: 2008-09-29 来自:

心灵独奏初生襁褓狮帖子:6 注册: 2008-09-29 来自:	发表于： 2008-09-29 17:19 \| 短消息资料字号：小中大 9楼回复：3.pif 手工不完整清除我发现一个很奇怪的问题！这个病毒好像不会在SP3的机器中出现！但在SP2的机子中却泛滥！
心灵独奏初生襁褓狮帖子:6 注册: 2008-09-29 来自:

半桶水2007 初生襁褓狮帖子:50 注册: 2008-09-18 来自:	发表于： 2008-09-29 20:00 \| 短消息资料字号：小中大 10楼回复：3.pif 手工不完整清除想出个专杀工具，估计是不可能了。
半桶水2007 初生襁褓狮帖子:50 注册: 2008-09-18 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT