瑞星-想说爱你不容易!有史以来本人所遇最BT最流氓最残暴的病毒!
瑞星-想说爱你不容易!有史以来本人所遇最BT最流氓最残暴的病毒!
本人有N套正版瑞星,一直认为瑞星势不可挡,所向披靡。
今天下午遇到一个病毒,彻底改变了我对瑞星的看法。
浏览一个网站的主页OK,当时瑞星就提示有病毒,出现一个提示框,
但是与以往不同的时候,没有提示是杀毒还是删除,让我很奇怪,
只是单纯性的提示一下。我也没有在意。
接下来更可怕的事情发生了。硬盘一阵狂响,当时我就不感觉不对
劲,一查系统进程,很多数字开头的EXE文件在里面,当时就立即
中止运行。可是已经晚了。接着在我眼中英勇无敌的瑞星小绿伞一
闪就不见了。再打开瑞星程序,也没有反映。重启电脑,故障依旧。
当时感觉问题很严重。专门针对杀毒软件的病毒。接着进入安全模式,
将瑞星进行修复,发现监控程序已经被损坏,再看主程序也被损坏。
在WINDOWS下查找新建文件,打开所有属性,发现隐藏文件:
lsass.exe exert.exe 在WINDOWS目录下。SYSTEM32下也有一堆
程序里也有一堆。百度一下,才发现这个病毒竟然是相当的难
对付。瑞星肯定是歇菜了。有人写了一个批处理文件,我下了,
根本没用,重启电脑,病毒还在。有人说木马杀客好用,我也下了
最新的2007测试版,是能杀掉,当时都可以隔离,可是重启电脑
病毒还在。这个病毒狠就狠在,安全模式下仍然可以加载lsass.exe
是用户名所有不是SYSTEM所有。
病毒特征
①、病毒会杀掉杀毒软件进程,一些程序不能正常使用,系统进程里多了几个病毒进进程,象lsass.exe(注意是windows目录下的),中毒版本不一样可能还会多出不同的进程,象灰鸽子什么的,主要目的是盗号。
②、病毒会修改一些exe文件的关联方式,并在系统盘生成一些可执行文件(下述),在非系统盘生成autorun.inf、command.com两个文件(所以在杀毒时不要双击打开非系统盘)。
③、病毒会修改注册表,包括启动项,文件关联等。
手工杀毒
断开网络使用深山红叶光盘引导进入WINDOWSPE系统找到如下文件全部删除(在安全模式下无法删除所有文件)没有深山红叶软件的也可以使用其他工具进入系统盘中删除。
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Common Files\update\*.*
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\Debug\PASSWD.LOG
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
D:\autorun.inf
D:\command.com
以及WINDOWS目录下于病毒发生当日所生成的随机数字名称DLL文件!
然后重启电脑,清除完毕,这时会发现所有EXE文件关联被修改,无法打开,没关系
下载瑞星注册表修复工具
http://download.rising.com.cn/zsgj/RegClean.com
但是瑞星程序已经被破坏掉了,MD5值也被修改。
只能卸载后重新安装。
由此总结,发现此病毒之凶狠,反之尽显瑞星之无能。被它直接打死。
我到现在不知道这个病毒叫什么名字。是什么变种。因为我的瑞星
死了,要重装,日志也查不到了。惨 惨 惨!我们花钱不应该买
这样的软件的。请瑞星反省。
2006-10-14 02:18:59.577000000
