瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 市面上的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,恢复和防治方法。刚刚试了瑞星,成功查出!

1   1  /  1  页   跳转

[求助] 市面上的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,恢复和防治方法。刚刚试了瑞星,成功查出!

市面上的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,恢复和防治方法。刚刚试了瑞星,成功查出!

没有高级啊,一会儿编辑。
我下载的杀毒的。。


新建 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
新建 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll@
改名 C:\WINDOWS\system32\rpcss.dllD [...]
[...] into C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32D
修改 C:\WINDOWS\system32\arpcss.dll
新建 C:\WINDOWS\system32\rpcss.dll@
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796



软件运行后,首先从网上下这个http://dydns175.3322.org:800/jax.exe
,然后在下从3322.org上下~198.exe,估计是病毒运行后在临时文件夹生成775kb大小的tmp文件,估计是Dll文件,换成后缀名后是文件名称
BNPSDll.dll,然后在C:\WINDOWS\system32\下生成apa.dll,然后把rpcss.dll修改成arpcss.dll然后开始修改rpcss.dll了,大小跟临时文件夹生成的文件大小一样,也是775kb,并不时生成rpcss.dll~185796这样的文件,大小一样。目前也没有找到能查杀被感染软件的杀毒软件。


防治也很简单,只要在c:\windows\system32生成apa.dll,然后给他拒绝访问,或是这个批处理
md "c:\windows\system32\apa.dll"
attrib +s +h "c:\windows\system32\apa.dll"
md "c:\windows\system32\apa.dll\病毒免疫..\"

只要在pe下,把被感染的rpcss.dll和临时文件里大小为775kb的tmp给删掉,然后用正常的替换了就成。

附件附件:

文件名:病毒.rar
下载次数:193
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-14 21:57:08
描述:rar

最后编辑Devilink 最后编辑于 2010-03-15 09:03:58
分享到:
gototop
 

回复:我又来了,关于市面是的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,如何恢复。

你还真会找病毒
字体看起来头晕
掀起你的头盖骨来,让我看看你的眼~~
电信是个黑心厂商,一天劫持我几十遍
gototop
 

回复 2F 西藏耗牛 的帖子

这不一直没清除嘛!
gototop
 

回复: 我又来了,关于市面是的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,如何恢复。

目前用上网本,不好贸然试验,用瑞星查了一下(最高级别查杀)。

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT