瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“Devilink”:关于“感染.exe”运行后的杀毒问题

12345   2  /  5  页   跳转

[原创] 致“Devilink”:关于“感染.exe”运行后的杀毒问题

收藏
本主题由 大版主 baohe 于 2010-3-7 11:23:11 执行 设置高亮 操作
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-03-07 16:46 | 短消息 资料
字号: 11楼

回复 9F byxxdrls 的帖子

现在有个很大的问题

就是在测试病毒的时候这个注册表知识应该掌握到什么程度

例如那个双IE图标扫描的注册表的日志,我只会看添加恶意地址的键值存在问题,像其他得那些数字,还有别的我一点都看不懂

有一次我记得月月在看这样日志的时候,我没有看出问题,而月月就知道哪里有问题,(是改其中的一些数字,)我就疑问了我怎么没有看出了,就是对注册表了解不到位

我看要想向猫叔这样分析病毒,自己要到这程度,还早呢
要深入,要专一.......
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2010-03-07 16:51 | 短消息 资料
字号: 12楼

回复 10F baohe 的帖子

是的,一般情况下是没这个键值的,只有添加了延迟重命名之后才会产生这个键值(比如使用了某些工具重启删除某些文件之后)。我只是说键值的数据不能随意修改----微软有警告的,也不明白是怎么回事。
一般来讲,这个键值在完成使命后会自行删除。
gototop
 
JayFaye
头像
叱咤花甲狮
  • 帖子:3546
  • 注册: 2004-08-15
  • 来自:
发表于: 2010-03-07 17:35 | 短消息 资料
字号: 13楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 byxxdrls 于 2010-3-7 16:51:00 发表
是的,一般情况下是没这个键值的,只有添加了延迟重命名之后才会产生这个键值(比如使用了某些工具重启删除某些文件之后)。我只是说键值的数据不能随意修改----微软有警告的,也不明白是怎么回事。
一般来讲,这个键值在完成使命后会自行删除。

一般不能用注册表编辑器手动像里面编辑内容,这个键牵涉到多个终止符,而注册表编辑工具又不支持这样的写法,所以会破坏原有的内容
而且随意修改这个键可能在重启时误删除或替换了重要文件的话系统就当掉了
gototop
 
天月来了
头像
版主
  • 帖子:76903
  • 注册: 2007-02-06
  • 来自:
发表于: 2010-03-07 18:06 | 短消息 资料
字号: 14楼

回复:致“Devilink”:关于“感染.exe”运行后的杀毒问题

也就是说,那地儿的不能修改,是个无限警告式的了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2010-03-07 18:30 | 短消息 资料
字号: 15楼

回复 13F JayFaye 的帖子

谢谢铺路图大侠的指教.
gototop
 
x11lang
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2010-03-09
  • 来自:
发表于: 2010-03-09 23:35 | 短消息 资料
字号: 16楼

回复 1F baohe 的帖子

我也是遇到了这个病毒,并按照你说的方法解决了,现在rpcss.dll正常。原本双击被感染的*.exe文件,就会复制很多rpcss.dllxxxxxx的。

现在还有个问题,想请教你。原本感染的*.exe文件该如何修复呢?
现在双击这些文件,任务管理器中能看见进程,但是界面不会出现,并且占用很高的CPU,过一段时间后就弹出错误窗口并结束了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-10 14:56 | 只看楼主 短消息 资料
字号: 17楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 x11lang 于 2010-3-9 23:35:00 发表

现在还有个问题,想请教你。原本感染的*.exe文件该如何修复呢?



原本感染的*.exe文件,瑞星最新病毒库已经可以修复。我用楼主在卡饭论坛提供的样本实验过。
gototop
 
benimtor
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2010-03-11
  • 来自:
发表于: 2010-03-11 00:10 | 短消息 资料
字号: 18楼

回复 17F baohe 的帖子

修复后的文件,运行报错。内存不能为 “written”
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-11 09:04 | 只看楼主 短消息 资料
字号: 19楼

回复 18F benimtor 的帖子



引用:
原帖由 benimtor 于 2010-3-11 0:10:00 发表
修复后的文件,运行报错。内存不能为 “written”


附件是那位求助者提供的染毒样本“智能杀毒伴侣”。解压密码:123。

下图是瑞星杀毒前后“智能杀毒伴侣”的MD5比较:



下图是瑞星杀毒后的“智能杀毒伴侣”运行情况(正常):









附件: 智能杀毒伴侣.rar (2010-3-11 9:05:37, 647.02 K)
该附件被下载次数 241

最后编辑baohe 最后编辑于 2010-03-11 09:05:37
gototop
 
Luke8
头像
飘泊而立狮
  • 帖子:557
  • 注册: 2010-01-15
  • 来自:
论坛9周年纪念实习生小红花
发表于: 2010-03-11 09:17 | 短消息 资料
字号: 20楼

回复:致“Devilink”:关于“感染.exe”运行后的杀毒问题

斑竹,我想请问下,我看教义里说c盘的dllcache里面有备份文件.
为什么不用那里的,还要去下载网上的文件?
gototop
 
<<上一主题|下一主题>>
12345   2  /  5  页   跳转
页面顶部
Powered by Discuz!NT