瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于“恭喜你成为今日幸运星”病毒

123456   1  /  6  页   跳转

[原创] 关于“恭喜你成为今日幸运星”病毒

关于“恭喜你成为今日幸运星”病毒

关于“恭喜你成为今日幸运星”病毒

1、中毒后的症状:

















2、中招后,系统分区与非系统分区可执行程序.exe的不同表现:

(1)系统分区程序文件夹中的.exe:本身不被病毒感染,但正常.exe的同一位置有与该.exe同名的128KB的病毒文件.exe.exe生成。即使运行未被病毒感染的.exe,也可激活病毒。

(2)非系统分区的.exe:被病毒感染,文件增大,MD5改变。






3、系统分区的手工杀毒流程:

结束病毒及病毒相关进程:




按中毒日期搜索.exe文件:



删除搜索到的系统分区内的病毒文件:




删除病毒添加的服务项:




经上述手杀处理后,系统分区的应用程序已经可以正常运行且不会导致病毒激活。


4、说明:中此毒后,注册表被篡改的部位很多。手工恢复非常麻烦。如果有系统备份或整个硬盘备份,最好用备份恢复系统。
非系统分区的被感染文件,只有等升级杀软病毒库后处理。杀软能否清除其中的病毒代码使那些被感染程序恢复正常,就看你所使用的具体杀软了。
作为一种变通,如果你的非系统分区的.exe不是很重要,可以直接删除之那些应用程序,再重新安装。
总之,非系统分区未处理干净前,不要运行其中的应用程序。


用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-06-06 15:15:19
分享到:
gototop
 

回复:关于“恭喜你成为今日幸运星”病毒

(1)系统分区程序文件夹中的.exe:本身不被病毒感染,但正常.exe的同一位置有与该.exe同名的128KB的病毒文件.exe.exe生成。即使运行未被病毒感染的.exe,也可激活病毒。

这玩意靠什么激活的呢???
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 关于“恭喜你成为今日幸运星”病毒



引用:
原帖由 天月来了 于 2009-6-6 15:26:00 发表
(1)系统分区程序文件夹中的.exe:本身不被病毒感染,但正常.exe的同一位置有与该.exe同名的128KB的病毒文件.exe.exe生成。即使运行未被病毒感染的.exe,也可激活病毒。

这玩意靠什么激活的呢???


那个同名.exe.exe
gototop
 

回复 3F baohe 的帖子

我知道有同名.exe.exe 的文件的存在

我是想问当*.exe运行的时候,病毒靠什么迫使*.exe.exe也启动???
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:关于“恭喜你成为今日幸运星”病毒

*.exe会调用*.exe.exe


感染型的
这个狠
gototop
 

回复: 关于“恭喜你成为今日幸运星”病毒



引用:
原帖由 天月来了 于 2009-6-6 15:42:00 发表
我知道有同名.exe.exe 的文件的存在

我是想问当*.exe运行的时候,病毒靠什么迫使*.exe.exe也启动???



没仔细观察

估计是靠WINDOWS目录下那两个(实际是同一个)以服务加载的病毒程序.exe。
最后编辑baohe 最后编辑于 2009-06-06 15:49:57
gototop
 

回复:关于“恭喜你成为今日幸运星”病毒

呵呵!!

我以前测过它,它的系统盘内的程序运行后激活*.exe.exe的情况,前提可能是需要已经进程内有病毒活动了,才能有这效果

只要进程内无病毒活动,运行系统盘的一些程序,是不激活那些的。

此毒还算好处理
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 关于“恭喜你成为今日幸运星”病毒



引用:
原帖由 天月来了 于 2009-6-6 15:51:00 发表
呵呵!!

我以前测过它,它的系统盘内的程序运行后激活*.exe.exe的情况,前提可能是需要已经进程内有病毒活动了,才能有这效果

只要进程内无病毒活动,运行系统盘的一些程序,是不激活那些的。

此毒还算好处理


问题是:

有些人瞎讲究-----C分区只装系统,应用程序装在非系统分区。这毒恰恰感染非系统分区的.exe
gototop
 

回复 8F baohe 的帖子

这问题一贯是网络求助中清理感染型病毒的老难题

几乎所有清理感染型病毒失败的人,都是那毛病,将大量软件安装在非系统分区了,尤其是安全软件这些开机自启动的软件。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:关于“恭喜你成为今日幸运星”病毒

样本呢?
gototop
 
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT