瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 市面上的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,恢复和防治方法。刚刚试了瑞星,成功查出!

1   1  /  1  页   跳转

[求助] 市面上的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,恢复和防治方法。刚刚试了瑞星,成功查出!

收藏
Devilink
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2010-03-04
  • 来自:
发表于: 2010-03-14 21:55 | 只看楼主 短消息 资料
字号: 1楼

市面上的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,恢复和防治方法。刚刚试了瑞星,成功查出!

没有高级啊,一会儿编辑。
我下载的杀毒的。。


新建 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
新建 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll@
改名 C:\WINDOWS\system32\rpcss.dllD [...]
[...] into C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32D
修改 C:\WINDOWS\system32\arpcss.dll
新建 C:\WINDOWS\system32\rpcss.dll@
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796


软件运行后,首先从网上下这个http://dydns175.3322.org:800/jax.exe
,然后在下从3322.org上下~198.exe,估计是病毒运行后在临时文件夹生成775kb大小的tmp文件,估计是Dll文件,换成后缀名后是文件名称
BNPSDll.dll,然后在C:\WINDOWS\system32\下生成apa.dll,然后把rpcss.dll修改成arpcss.dll然后开始修改rpcss.dll了,大小跟临时文件夹生成的文件大小一样,也是775kb,并不时生成rpcss.dll~185796这样的文件,大小一样。目前也没有找到能查杀被感染软件的杀毒软件。

防治也很简单,只要在c:\windows\system32生成apa.dll,然后给他拒绝访问,或是这个批处理
md "c:\windows\system32\apa.dll"
attrib +s +h "c:\windows\system32\apa.dll"
md "c:\windows\system32\apa.dll\病毒免疫..\"

只要在pe下,把被感染的rpcss.dll和临时文件里大小为775kb的tmp给删掉,然后用正常的替换了就成。

附件附件:

文件名:病毒.rar
下载次数:194
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-14 21:57:08
描述:rar

最后编辑Devilink 最后编辑于 2010-03-15 09:03:58
分享到:
gototop
 
西藏耗牛
头像
飘泊而立狮
  • 帖子:568
  • 注册: 2009-08-02
  • 来自:火星,不解释
发表于: 2010-03-14 22:03 | 短消息 资料
字号: 2楼

回复:我又来了,关于市面是的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,如何恢复。

你还真会找病毒
字体看起来头晕
掀起你的头盖骨来,让我看看你的眼~~
电信是个黑心厂商,一天劫持我几十遍
gototop
 
Devilink
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2010-03-04
  • 来自:
发表于: 2010-03-14 22:16 | 只看楼主 短消息 资料
字号: 3楼

回复 2F 西藏耗牛 的帖子

这不一直没清除嘛!
gototop
 
无忧葵哥
头像
飘泊而立狮
  • 帖子:555
  • 注册: 2010-03-09
  • 来自:天地无忧
发表于: 2010-03-14 22:18 | 短消息 资料
字号: 4楼

回复: 我又来了,关于市面是的杀毒软件检测不出来被感染软件的问题,在来个新的文件和分析文件,如何恢复。

目前用上网本,不好贸然试验,用瑞星查了一下(最高级别查杀)。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT