w1017.exe的处理 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 w1017.exe的处理

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] w1017.exe的处理

本主题由大版主 baohe 于 2008-10-25 16:52:17 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-10-20 15:57 \| 只看楼主短消息资料字号：小中大 1楼 w1017.exe的处理瑞星20.66.60不报毒。此毒改写系统文件beep.sys；恢复SSDT，并通过IFEO劫持废掉多个杀软及辅助杀毒工具。中此毒后，IceSword这样的工具也不能用了（此毒监视这些工具的目录、文件名以及窗口内容）。 Wsyscheck改名后还能正常运行。用改名后的Wsyscheck（如：WSC.EXE），按下图处理即可灭掉此毒。重启后，手工删除病毒添加的加载项、服务项、IFEO劫持项即可。 1.jpg (49.72 K) 2008-10-20 15:57:21 病毒的服务名可能是随即字母名 2.jpg (14.25 K) 2008-10-20 16:11:37 此毒搞掉IceSword的原因恐怕是因为这个： 0.jpg (61.99 K) 2008-10-20 16:50:15 用户系统信息：Opera/9.60 (Windows NT 5.1; U; zh-cn) Presto/2.1.1 baohe 最后编辑于 2008-10-20 16:50:15
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-10-20 16:01 \| 只看楼主短消息资料字号：小中大 2楼回复 2F yaya200054 的帖子看完帖子，再回复，不行么？
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

Fabregas 叱咤花甲狮帖子:2863 注册: 2008-03-01 来自:	发表于： 2008-10-20 16:13 \| 短消息资料字号：小中大 3楼回复：w1017.exe的处理我也中过类似的病毒，Icesword直接被删除，后来也是通过Wsyscheck改名后启动把病毒删除的。楼主的方法是很值得学习的。
Fabregas 叱咤花甲狮帖子:2863 注册: 2008-03-01 来自:

晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:	发表于： 2008-10-20 18:27 \| 短消息资料字号：小中大 4楼回复 1F baohe 的帖子猫叔.. 你在那里下载英语版的冰刃啊？我想去下下.. 那么清理完这毒后就要替换系统文件beep.sys
晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2008-10-20 19:41 \| 短消息资料字号：小中大 5楼回复：w1017.exe的处理猫叔样本上传给瑞星了吧
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2008-10-21 13:05 \| 短消息资料字号：小中大 6楼回复：w1017.exe的处理此毒搞掉IceSword的原因恐怕是因为这个：是什么意思？
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

天天免费啊初生襁褓狮帖子:11 注册: 2008-10-21 来自:	发表于： 2008-10-21 20:24 \| 短消息资料字号：小中大 7楼回复：w1017.exe的处理猫版没开下载啊, 那这个毒也失去研究意义了. 该毒的真正意图是联网下载 HB开头的DLL 和一些木马.
天天免费啊初生襁褓狮帖子:11 注册: 2008-10-21 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-10-21 20:53 \| 只看楼主短消息资料字号：小中大 8楼回复: w1017.exe的处理引用: 原帖由天天免费啊于 2008-10-21 20:24:00 发表猫版没开下载啊, 那这个毒也失去研究意义了. 该毒的真正意图是联网下载 HB开头的DLL 和一些木马. 我用IDM（一个下载工具）接管所有网络下载。遇到病毒下载器，下载的病毒全部进入IDM的download文件夹内。并不能自动运行。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

xiaoshzi 快乐黄口狮帖子:203 注册: 2006-08-09 来自:	发表于： 2008-10-22 17:43 \| 短消息资料字号：小中大 9楼回复：w1017.exe的处理猫叔换工具了呀
xiaoshzi 快乐黄口狮帖子:203 注册: 2006-08-09 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-10-22 20:23 \| 短消息资料字号：小中大 10楼回复：w1017.exe的处理应该不像是PJF在初始界面中写下的pjf(ustc)和IceSword，这些东西如果不是label的话，早就被转化成图片了。而从图片中识别文字是十分麻烦的。其实检测IceSword启动是很简单的。。。。Hook 掉CreateProcessExW，然后检查效验和就行。
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT