致：“ad209”——关于你那个“8位数.exe文件” - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致：“ad209”——关于你那个“8位数.exe文件”

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

致：“ad209”——关于你那个“8位数.exe文件”

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-24 09:48 \| 只看楼主短消息资料字号：小中大 1楼致：“ad209”——关于你那个“8位数.exe文件” 用IceSword强制删除下列文件以及各个分区根目录下的autorun.inf和“8位数.exe文件” 附件: 文件名:155847200752493854.jpg 下载次数:288 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-24 9:48:59 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-05-24 17:44:22
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-24 09:52 \| 只看楼主短消息资料字号：小中大 2楼结束explorer.exe进程（此进程不干净）。再调用任务管理器，运行explorer.exe。然后用autoruns（需改名运行）删除下图所示注册表项以及autoruns见到的所有IFEO劫持项。附件: 文件名:155847200752494203.jpg 下载次数:281 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-24 9:52:17 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-24 11:44 \| 只看楼主短消息资料字号：小中大 3楼注意：此毒还在当前用户临时文件夹释放一个病毒文件dl1.exe。病毒dll运行受阻后，dl1.exe运行。强制卸除插入explorer.exe进程的病毒dll模块后，显示隐藏文件，这些病毒文件可通过普通方法一一删除。注：本次运行，用Tiny阻止了其它分区的文件创建，故图中没有相应的autorun.inf和那个“8位随即数字的.exe”。附件: 文件名:1558472007524113435.jpg 下载次数:267 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-24 11:44:40 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-24 11:52 \| 只看楼主短消息资料字号：小中大 4楼用Tiny观察这个样本，需要按下图做系统权限防护设置。这样，才能看到你要看的东西。否则，病毒会强迫终止amon.exe进程，你就啥也别看了。至于“禁止强迫关机”，这条设置是用Tiny观测病毒时必须的。否则，你就晕吧！附件: 文件名:1558472007524114249.jpg 下载次数:282 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-24 11:52:54 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-05-24 11:58 \| 短消息资料字号：小中大 5楼老大我早上刚测试完`` 跟您说的差不多`` 这病毒相当精明`` 用冰刃试图卸模块的时候,它立马消失``` 开机再次插进程``太坏了 >_< ``` 偶也写个```
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:	发表于： 2007-05-24 12:04 \| 短消息资料字号：小中大 6楼最喜欢看猫叔讲TINY，支持！我觉的他一点都不老掉牙~嘿
loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

年度优秀版主奖

端午辟邪香囊

卡卡名人堂

就爱不长大

论坛9周年纪念

09欢乐圣诞

十周年

年度风云人物

2012我眼中的你们

茶馆劳模

瑞星金牌用户

十一周年勋章

发表于： 2007-05-24 12:04 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【孤独更可靠的贴子】老大

我早上刚测试完``

跟您说的差不多``

这病毒相当精明``

用冰刃试图卸模块的时候,它立马消失```

开机再次插进程``太坏了 >_<

```

偶也写个```
………………

那个病毒dll需要强制卸除两次。
当然如果配合应用其它策略（不完全指望IceSword），杀灭过程要简单些。

gototop

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-05-24 12:23 \| 短消息资料字号：小中大 8楼也破坏了安全模式和"显示隐藏文件" ```` 也要修复``` 呼``
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

ad209 初生襁褓狮帖子:31 注册: 2006-08-04 来自:	发表于： 2007-05-24 16:49 \| 短消息资料字号：小中大 9楼感谢各位帮忙，看样子是目前最厉害的病毒了，怎么让我碰上了。由于没用过baohe说的那些软件，所以基本上看不太懂，有没有更简单的方法啊，比如专杀一类的东西。还有，怎么防护这类病毒？单格式化ｃ盘能杀毒么（没有重要文件和程序，不怕格，而且省时间）。问题比较多，谢谢高手们耐心回答。
ad209 初生襁褓狮帖子:31 注册: 2006-08-04 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-24 16:52 \| 短消息资料字号：小中大 10楼那就格吧。最好全格算了。这是最好的了。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT