【原创】手动查杀"灰鸽子2005"及两个常见的QQ蠕虫病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】手动查杀"灰鸽子2005"及两个常见的QQ蠕虫病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【原创】手动查杀"灰鸽子2005"及两个常见的QQ蠕虫病毒

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-26 13:43 \| 显示全部短消息资料字号：小中大 1楼【原创】手动查杀"灰鸽子2005"及两个常见的QQ蠕虫病毒我对下列四种传说中比较难缠的病毒样本经行过测试： Worm.QQMsgMyRun.b.30406 （QQ蠕虫病毒） Worm.QQTran.h.21504 （QQ蠕虫病毒） Worm.QQTran.40 （QQ蠕虫病毒） Win32.Hack.Hupigon.f.104448 （灰鸽子木马病毒）由于图片较多，我就不一一贴图了。手动杀毒的全过程我截图了并附有详细的说明，发布在我的个人主页——"个人文集"栏目中。感兴趣的朋友请访问： http://zp128.home4u.china.com/article.htm 如果大家遇到常规手段查杀不了的病毒，请将病毒文件打个包，发送到我的邮箱：zplinux@21cn.com 经过测试以后，我告诉告诉大家详细的手动杀毒解决办法！技术实力比较强的朋友，希望能够加入我们的"电脑发烧友"QQ群：12393447 希望借此与大家探讨计算机安全与防毒杀毒方面的技巧，共同学习共同提高！ 2005-08-31 11:33:25
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	分享到：

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-26 14:23 \| 显示全部短消息资料字号：小中大 2楼没办法，杀毒全过程截图近20幅，一张张传比较麻烦考虑到篇幅较长，才直接链接到个人主页上，供参考和交流…… 谢谢各位捧场！
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-26 15:55 \| 显示全部短消息资料字号：小中大 3楼进程文件： System Idle Process 或者 System Idle Process 进程名称： System Idle Counter 描述： System Idle不是一个进程，更多用于统计剩余的CPU资源情况。无法删除该进程。进程文件： csrss 或者 csrss.exe 进程名称： Microsoft Client/Server Runtime Server Subsystem 描述： csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。进程文件： winlogon or winlogon.exe 进程名称： Microsoft Windows Logon Process 描述： WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。进程文件： taskmgr 或者 taskmgr.exe 进程名称： The Windows Task Manager. 描述： taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开。
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-26 15:58 \| 显示全部短消息资料字号：小中大 4楼这几个级别为“高”的进程，都是系统进程。 System Idle Process 的CPU占有率逐渐增加，表明系统资源正在释放，至少CPU占用率在释放中，直观感觉是计算机"快"了些。
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-27 09:30 \| 显示全部短消息资料字号：小中大 5楼感谢反病毒论坛斑竹baohe提供病毒样本供测试，昨天我测试了"灰鸽子2"木马病毒。有两点意见与版主提供的意见不符： 1、创建木马文件：在%system%目录下创建vxeras.sys和cpoiuyk.dll。 2、注册表改动在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI，指向C:\windows\system32\vxeras.sys 我测试的环境是：windows xp sp1 测试过程中没有发现版主提供的这两点。此外我发现注册表还有两处改动： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0 …… 测试过程我截取了21幅图片，加以说明。限于篇幅关系，我就不一一贴上来了，详情请访问我的个人主页：http://zp128.home4u.china.com
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-29 09:30 \| 显示全部短消息资料字号：小中大 6楼【回复“lvseqiji”的帖子】请将病毒样本发送到我的邮箱：zplinux@21cn.com 测试后给你答复。
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-29 10:20 \| 显示全部短消息资料字号：小中大 7楼【回复“有情人终成眷属”的帖子】也许是我测试过程中的失误，各位社区成员——对不起！请问：你采用的是什么软件进行测试的？我今晚再一次进行测试，以便找到问题出在哪里，进行更正！我采用的是regsnap v3.0进行注册表和文件测试的。快照前后对比记录如下：文件列表位于 C:\WINDOWS\. 统计信息: 被删除的文件: 0 被修改的文件: 0 新增加的文件: 1 新增文件 g_server2.0.exe 大小: 293 376 , 日期/时间: 2005年8月15日 14:15:42 -------------- Total positions: 1 ---------------------------------- 文件列表位于 C:\WINDOWS\System32\. 统计信息: 被删除的文件: 0 被修改的文件: 0 新增加的文件: 1 新增文件 cpoiuyk.dll 大小: 9 728 , 日期/时间: 2005年8月26日 20:51:23 -------------- Total positions: 1
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:	发表于： 2005-08-31 11:33 \| 显示全部短消息资料字号：小中大 8楼【回复“有情人终成眷属”的帖子】请问：你采用的是什么软件进行测试的？我想再一次进行测试，以便找到问题出在哪里，进行更正！
仅此一仙初生襁褓狮帖子:43 注册: 2005-08-17 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT