【原创】www. 8 7 4 9 .com解决方法

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】www. 8 7 4 9 .com解决方法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-07-28 20:47 \| 只看楼主短消息资料字号：小中大 1楼【原创】www. 8 7 4 9 .com解决方法最近中这个的貌似比较多`` 偶不常在卡卡活动``哪里写错了麻烦PM下`` ====================================================== 找阳光要的样本``他的分析： http://hi.baidu.com/newcenturysun/blog/item/362821fa88adf28b9e5146f6.html 据说比较NB，破例开了双HIPS跟踪。的确比较棘手，专杀之类的东西打不开。 26号的卡吧、BD、Dr、AVG、瑞星、金山、毒霸、偌顿等都没有报` 文件名称:a864.dll 文件大小:42748 byte AV命名:Backdoor.Win32.Agent.ahj（IKARUS）依赖平台:Windows（9X以上系统）加壳方式:nSpack V2.x 编写语言:Borland C++ DLL Method 2 病毒类型:后门文件MD5:E391C3283B2A7FF47522C7DE3BFDFC85 文件SHA1:AB33528C0A7917CDF5D4E982005A83549562DF84 文件CRC32:F4F9E3E4 危害等级: ★ ★ ☆ 传播方式:网络。行为分析： 1、释放病毒文件： %Systemroot%\system32\KYMAO.dll 42748 字节（名字可能不一样）这个是主体，并使用动态注入技术，插入所有运行中的进程！ %Systemroot%\system32\navcoy.dll 40960 字节 %Systemroot%\system32\ok1.exe 46761 字节 2、遍历进程，如找到QQ.exe进程，则在其目录下生成： D:\Program Files\QQ\QQ\i.dll 42748 字节 D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节 3、病毒注入后，检测窗口，尝试关闭： 8749 360safe wopticlean kakasetup ras.exe btbaicai wopticlean 360safe 8749病毒 8749专杀卡卡安全卫士 IE修复 8749.com病毒清除8749 删除8749 （这也是我为什么把标题弄成那样的原因=，=``） 4、破坏安全模式删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键！导致安全模式无法进入。 5、并在注册表里留下了病毒的一些版本信息，例如： HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION REG_SZ, "07072602 " HKEY_LOCAL_MACHINE\SOFTWARE\test\Version Version = REG_SZ, "1.2 " 6、写入注册表： HKEY_CLASSES_ROOT\Baidu509.Navcot键：指向的是%Systemroot%\system32\navcoy.dll。注册BHO，实现打开IE则注入病毒文件： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 指向的是%Systemroot%\system32\navcoy.dll 7、劫持IE主页，修改为：.8749.com* （重点来了，一起鄙视下）并由KYMAO.dll 监视，每隔一段时间重写主页（*.8749.com）。注册表变动： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 注册表值 Start Page 改为：REG_SZ, "http://.8749.com " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch 注册表值CustomizeSearch 改为:"http://.8749.com " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant 注册表值SearchAssistant 改为:REG_SZ, "http://.8749.com " 8、修改HOST，实现DNS劫持（每隔一段时间连接http://.8749.com下载HOST列表并修改）： 125.91.1.20 www.37021.net 125.91.1.20 37021.net 125.91.1.20 5235.net 125.91.1.20 www.5235.net 127.0.0.1 www.duba.net 127.0.0.1 duba.net 专杀下载： http://gudugengkekao.ys168.com/ 或http://free.ys168.com/?gudugengkekao1（另一个网盘``）找“置顶（874 9专刹）”和“874 9专刹 ”下`` （PS：杀软应该也可以杀了```=。=）手工清除只需要三步，不过却讲究技巧，并且病毒文件名是不固定的所以就不推荐了``` 死亡三步曲： 1、冰刃，禁止线程创建，删除： %Systemroot%\system32\KYMAO.dll 42748 字节（名字可能不一样） %Systemroot%\system32\navcoy.dll 40960 字节 %Systemroot%\system32\ok1.exe 46761 字节如果有QQ的话： D:\Program Files\QQ\QQ\i.dll 42748 字节（名字可能不一样） D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节冰刃注册表功能，删除： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad %Systemroot%\system32\KYMAO.dll 2、重启并监视，重启后SREng修复安全模式（不一定成功）和重置HOST。（也可以找个系统相同的，把SafeBoot键导出。） 3、推荐使用360安全卫士修复被篡改的主页： http://www.360safe.com OK，收工。 2007-08-01 08:19:36.810000000
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	分享到：

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2007-07-28 21:24 \| 短消息资料字号：小中大 2楼好帖，顶下！ PS： 1、360已经针对此病毒出了专杀，专杀和安全模式的注册表导入文件在我的网盘（地址见我的签名）里有，效果如何不太清楚（自己没中过）。 2、帖子中彩色部分十分晃眼睛（尤其是草绿色和浅蓝色），建议换成蓝色和紫色等深色，以减少读帖人的负担（我是用CTRL+A看完的）。
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-07-28 22:30 | 只看楼主 短消息资料

字号：小中大 3楼

引用:

【超级游戏迷的贴子】好帖，顶下！
PS：
1、360已经针对此病毒出了专杀，专杀和安全模式的注册表导入文件在我的网盘（地址见我的签名）里有，效果如何不太清楚（自己没中过）。
2、帖子中彩色部分十分晃眼睛（尤其是草绿色和浅蓝色），建议换成蓝色和紫色等深色，以减少读帖人的负担（我是用CTRL+A看完的）。

………………

懒得编辑了``

勒鲁什强壮不惑狮帖子:1009 注册: 2007-07-04 来自:	发表于： 2007-07-28 22:45 \| 短消息资料字号：小中大 4楼楼主辛苦，好帖，顶一下先
勒鲁什强壮不惑狮帖子:1009 注册: 2007-07-04 来自:

超级赛亚人3 初生襁褓狮帖子:44 注册: 2007-07-20 来自:	发表于： 2007-07-29 17:05 \| 短消息资料字号：小中大 5楼唉呀吗啊,楼主,辛苦你了,总算弄到方法了。
超级赛亚人3 初生襁褓狮帖子:44 注册: 2007-07-20 来自:

scriptman 社区嘉宾帖子:1315 注册: 2006-03-18 来自:	发表于： 2007-07-30 11:33 \| 短消息资料字号：小中大 6楼支持一个,楼主发个样本给我,谢谢. 地址见签名.
scriptman 社区嘉宾帖子:1315 注册: 2006-03-18 来自:

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-07-30 14:16 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【scriptman的贴子】支持一个,楼主发个样本给我,谢谢.
地址见签名.
………………

http://free.ys168.com/?gudugengkekao1

这里下8```

我的邮箱..很.卡```

过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡	发表于： 2007-07-30 16:42 \| 短消息资料字号：小中大 8楼无意看到的,学习了.
过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡

scriptman 社区嘉宾帖子:1315 注册: 2006-03-18 来自:	发表于： 2007-07-31 13:24 \| 短消息资料字号：小中大 9楼 thanks
scriptman 社区嘉宾帖子:1315 注册: 2006-03-18 来自:

Andrew1 初生襁褓狮帖子:5 注册: 2007-08-01 来自:	发表于： 2007-08-01 04:53 \| 短消息资料字号：小中大 10楼没中过
Andrew1 初生襁褓狮帖子:5 注册: 2007-08-01 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-07-28 20:47 \| 只看楼主短消息资料字号：小中大 1楼【原创】www. 8 7 4 9 .com解决方法最近中这个的貌似比较多`` 偶不常在卡卡活动``哪里写错了麻烦PM下`` ====================================================== 找阳光要的样本``他的分析： http://hi.baidu.com/newcenturysun/blog/item/362821fa88adf28b9e5146f6.html 据说比较NB，破例开了双HIPS跟踪。的确比较棘手，专杀之类的东西打不开。 26号的卡吧、BD、Dr、AVG、瑞星、金山、毒霸、偌顿等都没有报` 文件名称:a864.dll 文件大小:42748 byte AV命名:Backdoor.Win32.Agent.ahj（IKARUS）依赖平台:Windows（9X以上系统）加壳方式:nSpack V2.x 编写语言:Borland C++ DLL Method 2 病毒类型:后门文件MD5:E391C3283B2A7FF47522C7DE3BFDFC85 文件SHA1:AB33528C0A7917CDF5D4E982005A83549562DF84 文件CRC32:F4F9E3E4 危害等级: ★ ★ ☆ 传播方式:网络。行为分析： 1、释放病毒文件： %Systemroot%\system32\KYMAO.dll 42748 字节（名字可能不一样）这个是主体，并使用动态注入技术，插入所有运行中的进程！ %Systemroot%\system32\navcoy.dll 40960 字节 %Systemroot%\system32\ok1.exe 46761 字节 2、遍历进程，如找到QQ.exe进程，则在其目录下生成： D:\Program Files\QQ\QQ\i.dll 42748 字节 D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节 3、病毒注入后，检测窗口，尝试关闭： 8749 360safe wopticlean kakasetup ras.exe btbaicai wopticlean 360safe 8749病毒 8749专杀卡卡安全卫士 IE修复 8749.com病毒清除8749 删除8749 （这也是我为什么把标题弄成那样的原因=，=``） 4、破坏安全模式删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键！导致安全模式无法进入。 5、并在注册表里留下了病毒的一些版本信息，例如： HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION REG_SZ, "07072602 " HKEY_LOCAL_MACHINE\SOFTWARE\test\Version Version = REG_SZ, "1.2 " 6、写入注册表： HKEY_CLASSES_ROOT\Baidu509.Navcot键：指向的是%Systemroot%\system32\navcoy.dll。注册BHO，实现打开IE则注入病毒文件： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 指向的是%Systemroot%\system32\navcoy.dll 7、劫持IE主页，修改为：.8749.com* （重点来了，一起鄙视下）并由KYMAO.dll 监视，每隔一段时间重写主页（*.8749.com）。注册表变动： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 注册表值 Start Page 改为：REG_SZ, "http://.8749.com " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch 注册表值CustomizeSearch 改为:"http://.8749.com " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant 注册表值SearchAssistant 改为:REG_SZ, "http://.8749.com " 8、修改HOST，实现DNS劫持（每隔一段时间连接http://.8749.com下载HOST列表并修改）： 125.91.1.20 www.37021.net 125.91.1.20 37021.net 125.91.1.20 5235.net 125.91.1.20 www.5235.net 127.0.0.1 www.duba.net 127.0.0.1 duba.net 专杀下载： http://gudugengkekao.ys168.com/ 或http://free.ys168.com/?gudugengkekao1（另一个网盘``）找“置顶（874 9专刹）”和“874 9专刹 ”下`` （PS：杀软应该也可以杀了```=。=）手工清除只需要三步，不过却讲究技巧，并且病毒文件名是不固定的所以就不推荐了``` 死亡三步曲： 1、冰刃，禁止线程创建，删除： %Systemroot%\system32\KYMAO.dll 42748 字节（名字可能不一样） %Systemroot%\system32\navcoy.dll 40960 字节 %Systemroot%\system32\ok1.exe 46761 字节如果有QQ的话： D:\Program Files\QQ\QQ\i.dll 42748 字节（名字可能不一样） D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节冰刃注册表功能，删除： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad %Systemroot%\system32\KYMAO.dll 2、重启并监视，重启后SREng修复安全模式（不一定成功）和重置HOST。（也可以找个系统相同的，把SafeBoot键导出。） 3、推荐使用360安全卫士修复被篡改的主页： http://www.360safe.com OK，收工。 2007-08-01 08:19:36.810000000
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】www. 8 7 4 9 .com解决方法

【原创】www. 8 7 4 9 .com解决方法

【原创】www. 8 7 4 9 .com解决方法

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】www. 8 7 4 9 .com解决方法