瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Email-Worm.Win32.Brontok.q的手工查杀方法

1   1  /  1  页   跳转

Email-Worm.Win32.Brontok.q的手工查杀方法

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 12:20 | 显示全部 短消息 资料
字号: 1楼

Email-Worm.Win32.Brontok.q的手工查杀方法




这是网友昨天发给我的一个样本。卡巴斯基报Email-Worm.Win32.Brontok.q。当时,那位网友说删除C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件时遇到困难(一点击病毒文件名,系统即刻重启!)。
现将手工查杀方法罗列如下:
1、用autoruns等工具删除注册表中病毒的加载项(图1)。【WINDOWS的注册表编辑器已被病毒禁用】
利用其它注册表编辑工具(如:TuneUp等)编辑以下注册表项:
展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
将"NoFolderOptions"=dword:00000001改为:"NoFolderOptions"=dword:00000000
展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将"DisableRegistryTools"=dword:00000001改为"DisableRegistryTools"=dword:00000000
展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
将"Hidden"=dword:00000001改为"Hidden"=dword:00000000
2、重启系统。
3、删除病毒文件(图2)。


图1

附件附件:

下载次数:392
文件类型:image/pjpeg
文件大小:
上传时间:2006-7-24 12:20:20
描述:
预览信息:EXIF信息



最后编辑2006-09-29 20:31:45.700000000
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 12:21 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:415
文件类型:image/pjpeg
文件大小:
上传时间:2006-7-24 12:21:02
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 12:25 | 显示全部 短消息 资料
字号: 3楼

引用:
【独孤豪侠的贴子】C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件   
这个不能用清空缓存吗???
...........................

C:\Documents and Settings\当前用户名\Local Settings\Application Data\
不是C:\Documents and Settings\当前用户名\Local Settings\Temp\
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 15:56 | 显示全部 短消息 资料
字号: 4楼

引用:
【mopery的贴子】猫叔..昨天那女的样本还真送过去了...

学习下...
...........................

她急中生智,索性把整个Application Data文件夹打包给我发过来了!
也是不得已呀!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 15:58 | 显示全部 短消息 资料
字号: 5楼

引用:
【闪电风暴的贴子】请问baohe版主,那个网友说点击那个文件时是立即黑了屏重启还是正常重启???如果是正常重启,用SSM禁止shutdown.exe就爽了...
...........................

按照我这种查杀操作顺序,没有什么“自动重启”问题。
基本思路是:既然病毒没有注册表监控,那好——柿子拣软的捏!先从注册表下手。
启动项都删了,重启系统后,病毒文件只有等死了。
杀毒操作顺序的确定——要灵活。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 16:14 | 显示全部 短消息 资料
字号: 6楼

引用:
【闪电风暴的贴子】学习,另外,在HJ和SRENG中的日志会有什么表现??

...........................

SRENG的日志,没扫。估计也就是加载项和进程吧。
现在用惯了autoruns,已经不愿意用其它的日志工具了。用autoruns的“自动比较”读日志——省时、省眼啊。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-24 16:26 | 显示全部 短消息 资料
字号: 7楼

引用:
【独孤豪侠的贴子】

呵呵。自已用比较好。但看别的人的话那就~~~~~~~~~~~~~~~
...........................

是的。
我现在对SREng日志“过敏”!看见就头晕。闪!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-04 09:35 | 显示全部 短消息 资料
字号: 8楼

引用:
【declan的贴子】baohe  版主 您好

我用的是瑞星2006下载版
瑞星提示有病毒
C:\Documents and Settings\Administrator\Local Settings\Application Data\winlogon.exe (文件路径)


Worm.Mail.Brontok.ac (病毒名称)

病毒来源 显示 本机


瑞星杀不了 也删除不了

这是我发的求助贴
http://forum.ikaka.com/topic.asp?board=28&artid=8134719


这是网友回复的的一个链接
http://forum.ikaka.com/topic.asp?board=28&artid=8127464


我下载了autoruns  这个工具 中文版的

可是我不会用  请 教教 我 好吗  谢谢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
………………

运行autoruns,对照本帖,找到图显示的那些木马启动项,删除。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT