“犇牛”病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 “犇牛”病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] “犇牛”病毒

onisuly 快乐黄口狮帖子:248 注册: 2008-09-21 来自:	发表于： 2009-02-10 21:31 \| 只看楼主短消息资料字号：小中大 1楼 “犇牛”病毒今天终于弄到“犇牛”病毒的样本了，放虚拟机里试了试，果然好厉害，竟然连物理机上的ESET NOD32 Antivirus也报毒，机子卡的要死，用最先爆出“犇牛”病毒的360木马专杀大全杀到了这结果，唉，附上SREng日志，本人小菜不懂，有大虾就研究下吧。未命名.jpg (32.96 K) 2009-2-10 21:30:51 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506) 附件: 文件名:运行病毒前SREngLOG.rar 下载次数:156 文件类型:application/octet-stream 文件大小: 上传时间:2009-2-10 21:30:51 描述:rar 附件: 文件名:运行病毒后SREngLOG.rar 下载次数:133 文件类型:application/octet-stream 文件大小: 上传时间:2009-2-10 21:30:51 描述:rar 附件: 文件名:物理机NOD32监控报毒.rar 下载次数:163 文件类型:application/octet-stream 文件大小: 上传时间:2009-2-10 21:30:51 描述:rar
onisuly 快乐黄口狮帖子:248 注册: 2008-09-21 来自:	分享到：

caogensk 卡卡反病毒小组帖子:1023 注册: 2009-01-02 来自:	发表于： 2009-02-10 21:43 \| 短消息资料字号：小中大 2楼回复: “犇牛”病毒迅雷被劫持，下载工具修复下。 http://bbs.ikaka.com/attachment.aspx?attachmentid=435625下载镜像劫持修复工具 [PID: 476 / Administrator][C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE] 把病毒进程结束了。水平有限，先试试，参考一下置顶帖里usp10.dll的处理方法。只要快乐，不要哀伤。 lose yourself。。。
caogensk 卡卡反病毒小组帖子:1023 注册: 2009-01-02 来自:

pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:	发表于： 2009-02-10 21:45 \| 短消息资料字号：小中大 3楼回复：“犇牛”病毒扫描后的日志讯雷还被劫持着修复下 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe] <IFEO[Thunder5.exe]><svchost.exe> [(Verified)Microsoft Windows Publisher] 下面的这是声卡吗? [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <SRS Premium Sound><"C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme> [SRS Labs, Inc.] 驱动程序 [SRS Labs Premium Sound / SRS_PremiumSound_Service][Running/Manual Start] <system32\drivers\srs_PremiumSound_i386.sys><> [VirtualDrive / VirtualDrive][Stopped/Auto Start] C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE结束自行处理 <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\vdd-x86.sys><N/A> 这个又是啥 pigboy 最后编辑于 2009-02-10 21:46:20
pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-02-10 21:45 \| 短消息资料字号：小中大 4楼回复：“犇牛”病毒样本拿来看来这个得开主防玩
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-02-10 21:47 \| 短消息资料字号：小中大 5楼回复：“犇牛”病毒不用了原来是USP10.DLL
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

onisuly 快乐黄口狮帖子:248 注册: 2008-09-21 来自:	发表于： 2009-02-10 21:49 \| 只看楼主短消息资料字号：小中大 6楼回复: “犇牛”病毒引用: 原帖由 caogensk 于 2009-2-10 21:43:00 发表迅雷被劫持，下载工具修复下。 http://bbs.ikaka.com/attachment.aspx?attachmentid=435625下载镜像劫持修复工具 [PID: 476 / Administrator][C:\Documents and Se C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE未找到，没有发现镜像劫持
onisuly 快乐黄口狮帖子:248 注册: 2008-09-21 来自:

onisuly 快乐黄口狮帖子:248 注册: 2008-09-21 来自:	发表于： 2009-02-10 21:51 \| 只看楼主短消息资料字号：小中大 7楼回复: “犇牛”病毒引用: 原帖由 pigboy 于 2009-2-10 21:45:00 发表扫描后的日志讯雷还被劫持着修复下 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe] <IFEO[Thunder5.exe]><svchost.exe> [(Ve...... 下面的这是声卡吗? [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <SRS Premium Sound><"C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme> [SRS Labs, Inc.] 驱动程序 [SRS Labs Premium Sound / SRS_PremiumSound_Service][Running/Manual Start] <system32\drivers\srs_PremiumSound_i386.sys><> [VirtualDrive / VirtualDrive][Stopped/Auto Start] 是声卡，迅雷没发现劫持啊
onisuly 快乐黄口狮帖子:248 注册: 2008-09-21 来自:

pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:	发表于： 2009-02-10 21:57 \| 短消息资料字号：小中大 8楼回复 7F onisuly 的帖子下载XDelBox删除以下文件(下载地址:http://dly2007.ys168.com) 使用说明:删除时复制所有要删除文件的路径在待删除文件列表里点击右键选择从剪贴板导入导入后在要删除文件上点击右键选择立刻重启删除电脑会重启进入DOS界面进行删除操作运行xdelbox前最好卸载所有可移动存储介质(包括U盘、MP3、手机存储卡等) ----------------------------------------------------- 以下的删除操作最好在安全模式下进行 ----------------------------------------------------- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\vdd-x86.sys C:\Documents and Settings\Administrator\桌面\样本\VIRUSVIRUS.EXE 没发现劫持也要使用SREng--启动项目－－注册表之如下项删除： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe] <IFEO[Thunder5.exe]><svchost.exe> [(Verified)Microsoft Windows Publisher] 使用SREng--启动项目－－服务－－驱动程序之如下项删除： [VirtualDrive / VirtualDrive][Stopped/Auto Start] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\vdd-x86.sys><N/A> 然后下载Windows清理助手进行清理 http://www.arswp.com
pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT