关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个小问题 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个小问题

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个小问题

捍卫爱机初生襁褓狮帖子:18 注册: 2006-11-13 来自:	发表于： 2008-07-20 11:40 \| 只看楼主短消息资料字号：小中大 1楼关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个小问题本人是个菜鸟，全靠卡卡社区的高手相助才能暂时将可恨的病毒稳定下来，在此首先向你们致敬了！谢谢你们！辛苦了！大概在昨天，我们实验室的三台电脑先后中毒，症状同“木马群”！今早按置顶帖： [原创] “木马群”病毒专杀及修复工具（20080627更新带驱动版专杀）处理后，瑞星可以正常启动查杀病毒。另出现新问题，在杀毒过程中，双击打开硬盘，瑞星会自动关闭，同时病毒又死灰复燃。今又参考置顶帖： [原创] 警惕替换windows自动更新程序wuauclt1.exe的病毒处理后，基本正常。但帖中貌似不太详细，特修正如下，望高手指正：需添加的软件限制策略有如下几个： 1.%windows%\sysytem32\wuauclt1.exe 此文件开机会启动，貌似是自动加载病毒的，必须限制的 2.C:\,D:\,E:\,F:\,.......n:\（有几个盘算几个盘）根目录下的MSDOS.EXE 此文件在双击打开硬盘后会自动启动病毒以上操作后，病毒基本无碍。可是我的电脑上还存在各小问题，望大家帮忙！现在的图标是这样的，请问如何使其恢复正常未命名.JPG (7.12 K) 2008-7-20 11:40:19 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) 捍卫爱机最后编辑于 2008-07-20 11:42:14
捍卫爱机初生襁褓狮帖子:18 注册: 2006-11-13 来自:	分享到：

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-07-20 11:41 \| 短消息资料字号：小中大 2楼回复：关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程卸载显卡驱动重装试试
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-07-20 11:44 \| 短消息资料字号：小中大 3楼回复: 关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个... 请按版规要求上传扫描日志附件打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2008-07-20 13:11 \| 短消息资料字号：小中大 4楼回复：关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个... autorun.inf没有弄死
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-20 13:28 \| 短消息资料字号：小中大 5楼回复 1F 捍卫爱机的帖子被此毒改写过的.%windows%\sysytem32\wuauclt1.exe以及各分区根目录下的MSDOS.EXE是相同的病毒文件（查一下它们的MD5值就明白了）。因此，软件限制策略中加一条针对MSDOS.EXE的“散列规则”（不允许的），即可禁止此毒的所有.exe程序运行。剩下的，按置顶贴图示删除病毒文件，改回其更改的注册表内容即可。【在杀毒过程中，双击打开硬盘，瑞星会自动关闭，同时病毒又死灰复燃。】－－－－－－－估计原因如下： 1、你在“软件限制策略”中添加的是路径规则，而不是我说的“散列规则”。 2、你那中招的电脑中各个分区根目录下的autorun.inf和MSDOS.EXE没删除干净。 baohe 最后编辑于 2008-07-20 13:34:55
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

捍卫爱机初生襁褓狮帖子:18 注册: 2006-11-13 来自:	发表于： 2008-07-20 13:47 \| 只看楼主短消息资料字号：小中大 6楼回复：关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个... 谢谢指点! 1、确实是“散列规则”； 2、我这样做可以吗？手动删除“MSDOS。EXE”，然后再创建一个MSDOS.EXE，并设为只读的？
捍卫爱机初生襁褓狮帖子:18 注册: 2006-11-13 来自:

捍卫爱机初生襁褓狮帖子:18 注册: 2006-11-13 来自:	发表于： 2008-07-20 13:50 \| 只看楼主短消息资料字号：小中大 7楼回复 2F aaccbbdd 的帖子不行，问题依旧
捍卫爱机初生襁褓狮帖子:18 注册: 2006-11-13 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-20 13:52 \| 短消息资料字号：小中大 8楼回复: 关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个... 引用: 原帖由捍卫爱机于 2008-7-20 13:47:00 发表谢谢指点! 2、我这样做可以吗？手动删除“MSDOS。EXE”，然后再创建一个MSDOS.EXE，并设为只读的？针对这个特定的病毒可能管用。若下一个变种病毒变换一下文件名，你这招又就没用了。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-20 13:54 \| 短消息资料字号：小中大 9楼回复: 关于“木马群”，wuauclt1.exe，autorun.inf和MSDOS.exe的处理过程与一个... 引用: 原帖由捍卫爱机于 2008-7-20 13:50:00 发表不行，问题依旧软件限制策略的“散列规则”设置正确，肯定能阻止此毒运行（见http://bbs.ikaka.com/showtopic-8525793.aspx防护效果的两个图）你的“软件限制策略”设置肯定有问题。截图上来看看。 baohe 最后编辑于 2008-07-20 13:56:24
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT