12   1  /  2  页   跳转

[原创] 病毒MSDOS.EXE新变种的查杀

病毒MSDOS.EXE新变种的查杀

这个垃圾病毒最近有点儿来劲儿了!


今天又见一变种(MD5值:4e79a2c539481625ee244437e82ea981)。中招后,这个变种比前几个热闹点儿。瑞星20.54.51不报。

查杀流程如下

1、将IceSword.exe改名为IS.exe运行。
2、禁止进程创建。用IS.exe强制删除下列文件:

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
C:\Program Files\Internet Explorer\10.pif
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
c:\windows\system32\browsui.dll
C:\WINDOWS\system32\chdkk.exe
c:\windows\system32\drivers\dftzm2.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\vhqdteqsj.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe
c:\program files\common files\cpush\cpush.dll 
c:\documents and settings\all users\application data\microsoft\pctools\pctools.dll
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\botinfs
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\bots
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\service
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\services
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\service.lck 
各分区根目录下的MSDOS.EXE和autorun.inf
C:\System Volume Information目录下的所有文件夹


3、删除病毒添加的加载项(图中绿色高亮显示内容)。



用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-07-27 20:58:05
分享到:
gototop
 

回复:病毒MSDOS.EXE新变种的查杀

c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了?
gototop
 

回复: 病毒MSDOS.EXE新变种的查杀



引用:
原帖由 aaccbbdd 于 2008-7-27 20:39:00 发表
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了?


被病毒改写了

病毒通过添加IFEO劫持项,将多种杀毒辅助工具劫持到病毒程序c:\windows\system32\dllcache\wuauclt.exe
最后编辑baohe 最后编辑于 2008-07-27 20:56:15
gototop
 

回复: 病毒MSDOS.EXE新变种的查杀



引用:
原帖由 baohe 于 2008-7-27 20:55:00 发表


引用:
原帖由 aaccbbdd 于 2008-7-27 20:39:00 发表
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了?


被病毒改写了

病毒通过添加IFEO劫持项,......


不是覆盖式写入吧?
gototop
 

回复: 病毒MSDOS.EXE新变种的查杀



引用:
原帖由 aaccbbdd 于 2008-7-27 20:59:00 发表
[quote] 原帖由 baohe 于 2008-7-27 20:55:00 发表
[quote] 原帖由 aaccbbdd 于 2008-7-27 20:39:00 发表
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了......


不清楚
总之,是被病毒改写了。
gototop
 

回复:病毒MSDOS.EXE新变种的查杀

请问下这个病毒是通过什么方式传播的
gototop
 

回复:病毒MSDOS.EXE新变种的查杀

改写c:\windows\system32\dllcache里的东西,好恐怖
gototop
 

回复: 病毒MSDOS.EXE新变种的查杀



引用:
原帖由 tjcum210210 于 2008-7-27 21:28:00 发表
改写c:\windows\system32\dllcache里的东西,好恐怖 


弄得只能从别的计算机拷文件了
gototop
 

回复: 病毒MSDOS.EXE新变种的查杀



引用:
原帖由 白痴一个 于 2008-7-27 21:14:00 发表
请问下这个病毒是通过什么方式传播的  


可通过U盘传播
gototop
 

回复: 病毒MSDOS.EXE新变种的查杀



引用:
原帖由 aaccbbdd 于 2008-7-27 21:30:00 发表


引用:
原帖由 tjcum210210 于 2008-7-27 21:28:00 发表
改写c:\windows\system32\dllcache里的东西,好恐怖  


弄得只能从别的计算机拷文件了


如果你没删除系统分区的I386目录中的文件,可以从那个目录下拷贝文件(自己加上相应后缀即可)。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT