1   1  /  1  页   跳转

[原创] 关于“在线修复Kaspersky”

关于“在线修复Kaspersky”

今天,在本论坛看到一份因中此毒扫的SRENG日志,内容颇为壮观(http://bbs.ikaka.com/showtopic-8517714.aspx)。
据说此毒感染非系统分区文件。我的硬盘只有一个分区,因此无法观察中此毒后非系统分区的情况。

对于单分区系统,这个病毒还算比较容易搞掂。

扫SRENG日志可见下列一个加载项和两个服务项:

启动文件夹
[LBLOBK]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\LBLOBK.lnk --> C:\WINDOWS\RMXP1XMG.exe [Kaspersky Lab]><H>
服务
[MAJVO0X / RMXP1XMG][Running/Auto Start]
  <C:\windows\RMXP1XMG.exe -ANQVT><Kaspersky Lab>
[DPBDH8 / S32AV][Running/Auto Start]
  <C:\windows\system32\S32AV.exe -58P2PZ9RQB5Q><Kaspersky Lab>

分别指向下列两个病毒文件:

C:\WINDOWS\RMXP1XMG.exe
C:\windows\system32\S32AV.exe

如果系统中安装了SSM等HIPS,用户会得到提示“存在无规则进程”。此时,将C:\WINDOWS\RMXP1XMG.exe和C:\windows\system32\S32AV.exe两个程序归入 "blocked"组(见附图),进程即刻被终止。

接下来,删除病毒文件及其相应的注册表项即可搞掂。至于被病毒删除的“安全模式”----用工具修复以下即可。

有人说此毒不好处理,除了它感染非系统分区程序外,恐怕是找不到那个隐藏的病毒进程C:\WINDOWS\RMXP1XMG.exe。

这个病毒有两个进程:
C:\WINDOWS\RMXP1XMG.exe----隐藏的。
C:\windows\system32\S32AV.exe----作为系统服务加载。

用户系统信息:Opera/9.27 (Windows NT 5.1; U; zh-cn)

附件附件:

文件名:1.jpg
下载次数:711
文件类型:image/jpeg
文件大小:
上传时间:2008-6-24 19:29:43
描述:jpg
预览信息:EXIF信息



本帖被评分 2 次
最后编辑baohe 最后编辑于 2008-06-24 19:33:16
分享到:
gototop
 

回复: 关于“在线修复Kaspersky”

加菲出手,我学习先……
打酱油的……
gototop
 

回复:关于“在线修复Kaspersky”

最喜欢看猫猫折腾玩了。

我顶

百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:关于“在线修复Kaspersky”

每次病毒产生的进程名字是不一样的!!
没有办法指定名称的,我以前中毒时就是用sreng一项项的停止服务,删除,但是重启后,出来的进程名字又不一样了,重装系统N次,但是总是很快复发,因为我其他盘内有文件,只能格式化系统盘,而且当时瑞星等杀毒软件反应均不正常,一个毒都杀不出来,只是在今天用了http://bbs.ikaka.com/showtopic-8516483.aspx内的一个“修复应用程序劫持项.bat”后,采用瑞星杀出了1000多个病毒,但是杀完之后过一会还会有!好像永远杀不干净似的,我现在用重新安装了系统,现在还有一个病毒,名字是“Adware.Win32.BHO.exi”,不知道为什么,瑞星不能防御,只能被动的去查杀,而且不能做到完全清除,请斑竹指教,是我的方法有错,还是敌人太狡猾?
gototop
 

回复:关于“在线修复Kaspersky”

这个病毒瑞星解决得怎么样了!
gototop
 

回复: 关于“在线修复Kaspersky”



引用:
原帖由 mglx 于 2008-6-24 21:05:00 发表
每次病毒产生的进程名字是不一样的!!
没有办法指定名称的,我以前中毒时就是用sreng一项项的停止服务,删除,但是重启后,出来的进程名字又不一样了,重装系统N次,但是总是很快复发,因为我其他盘内有文件,只能格式化系统盘,而且当时瑞星等杀毒软件反应均不正常,一个毒都杀不出来,只是在今天用了http://bbs.ikaka.com/showtopic-8516483.aspx


你的问题在于:不会用SSM这样的工具。中了这个毒,折腾到你日志显示的那份儿上-----也不是很容易。我试验了3次,都没那么惨。
gototop
 

回复:关于“在线修复Kaspersky”

猫叔,怎么会加载那么多服务的?

而且那么多启动项?


猜想是不是只要运行一次病毒,病毒就随即加载服务,并添加了启动项?
gototop
 

回复:关于“在线修复Kaspersky”

我的前几天就是出现在线修复Kavpersky,我就找同事借了个CHOST的系统盘重新装了系统。但是,一联网,马上瑞星卡卡就不能用了,瑞星升级到最新版本也杀不出任何病毒。任务管理器一闪就没有了。现在不知道要怎么办了。用Dr.web可以扫描出有木马、黑客工具,但是有几个病毒根本删不掉。除了瑞星杀毒软件可以开,其他瑞星修复都打不开。
gototop
 

回复:关于“在线修复Kaspersky”

这个毒具有针对性感染,一般人不是这么简单的能搞定
制兹八拍兮拟排忧,何知曲成兮心转愁
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT