【原创】与newcenturymoon版主,关于***.pri又有新的变种,查杀方法如下 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】与newcenturymoon版主,关于*.pri又有新的变种,查杀方法如下**

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【原创】与newcenturymoon版主,关于***.pri又有新的变种,查杀方法如下

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:56 \| 显示全部短消息资料字号：小中大 1楼【原创】与newcenturymoon版主,关于***.pri又有新的变种,查杀方法如下病毒名称:explorer.exe 大小: 23612 字节修改时间: 2007年9月1日, 8:37:12 MD5: 38A9B8D57D84403ABF8C8E0585261D7F SHA1: 7E4D0F013E6D90316888CF4B09EA762ECF4CD702 CRC32: 75B5DFA 该病毒又添加了流氓软件和盗号木马强制关闭杀毒软件. 以下为SReng日志扫描分析: 中毒症状: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <DbgHlp32><C:\windows\DbgHlp32.exe> [] <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> [] <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe> [] <DiskMan32><C:\windows\DiskMan32.exe> [] <MsIMMs32><C:\windows\MsIMMs32.exe> [] <avpqqsg><C:\Program Files\NetMeeting\avpqqsg.exe> [] <ravchdmon><C:\Program Files\NetMeeting\ravchdmon.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <twin><C:\windows\system32\ctfnom.exe> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><jzipri.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\windows\system32\mxbman.dll> [] <{84123FF1-8371-9834-9021-184518451FA8}><C:\windows\system32\qjhpri.dll> [] <{52311A42-AC1B-158F-FD32-5674345F23A5}><C:\windows\system32\dhepri.dll> [] <{66368135-64FA-BC34-DA32-DCF4FD431C96}><C:\windows\system32\qhfpri.dll> [] <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\windows\system32\jzipri.dll> [] 服务添加: [942D374 / 942D374][Stopped/Auto Start] <C:\windows\system32\5177F6E8.EXE -d><Microsoft Corporation> 驱动添加: [khoekej / khoekej][Running/Boot Start] <\SystemRoot\\SystemRoot\System32\drivers\khoekej.sys><N/A> [1ezyw9e3 / 1ezyw9e3][Running/Auto Start] <\??\C:\windows\system32\drivers\1ezyw9e3.sys><N/A> 随机8位 [h2ouwg / h2ouwg][Running/Boot Start] <\SystemRoot\System32\DRIVERS\h2ouwg.sys><N/A> 随机6位 [acpidisk / acpidisk][Running/Auto Start] <\??\C:\windows\system32\drivers\acpidisk.sys><N/A> 病毒插入正常进程: [PID: 848 / SYSTEM][\??\C:\windows\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [PID: 872 / SYSTEM][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [C:\windows\system32\winlib .dll] [N/A, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] [PID: 916 / SYSTEM][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [PID: 928 / SYSTEM][C:\windows\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [PID: 1080 / SYSTEM][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [C:\windows\system32\MsIMMs32.dll] [N/A, ] [C:\windows\system32\DiskMan32.dll] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\kulionzx.dll] [N/A, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\system32\DbgHlp32.dll] [N/A, ] [C:\windows\video.dll] [N/A, ] [C:\windows\kulionwl.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] [C:\windows\kulionwm.dll] [N/A, ] [C:\windows\kulionrx.dll] [N/A, ] [PID: 1828 / 侯觉][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)] [C:\windows\system32\350AED48.DLL] [Microsoft Corporation, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\kulionwl.dll] [N/A, ] [C:\Program Files\NetMeeting\ravmsmon.dat] [N/A, ] [C:\windows\video.dll] [N/A, ] [C:\windows\system32\DbgHlp32.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\kulionzx.dll] [N/A, ] [C:\Program Files\NetMeeting\ravztmon.dat] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\DiskMan32.dll] [N/A, ] [C:\windows\system32\MsIMMs32.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] [C:\windows\kulionwm.dll] [N/A, ] [C:\Program Files\NetMeeting\avpqqsg.dat] [N/A, ] [C:\Program Files\NetMeeting\ravchdmon.dat] [N/A, ] [C:\windows\kulionrx.dll] [N/A, ] 不一一列举了查杀方法如下: 利用的工具是IceSword和SReng [C:\windows\system32\winlib .dll] [N/A, ] [C:\windows\system32\mxbman.dll] [N/A, ] [C:\windows\system32\qjhpri.dll] [N/A, ] [C:\windows\system32\dhepri.dll] [N/A, ] [C:\windows\system32\qhfpri.dll] [N/A, ] [C:\windows\system32\jzipri.dll] [N/A, ] 关于这类病毒可以用newcenturymoon版主给的专杀是360发布的下载地址 http://dl.360safe.com/killer_qhbpri.exe 如果杀不了如下: 可以借助IceSword进行强行删除这里就不说了清除其它病毒步骤如下: 图1: 结束下列进程附件: 文件名:635621200791115847.jpg 下载次数:257 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:56:20 描述: 2007-09-01 12:10:56
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	分享到：

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:57 \| 显示全部短消息资料字号：小中大 2楼图1:结束下列进程附件: 文件名:635621200791114627.jpg 下载次数:246 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:57:05 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:58 \| 显示全部短消息资料字号：小中大 3楼利用SReng清除启动. 因为进程方面没有回写,可以直接结束掉附件: 文件名:635621200791114754.jpg 下载次数:277 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:58:33 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 11:59 \| 显示全部短消息资料字号：小中大 4楼清除掉继续利用IceSword 附件: 文件名:635621200791114841.jpg 下载次数:248 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 11:59:20 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:00 \| 显示全部短消息资料字号：小中大 5楼然后机子重启下.删除下列病毒.还有需要删的如下附件: 文件名:635621200791114950.jpg 下载次数:244 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 12:00:29 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:03 \| 显示全部短消息资料字号：小中大 6楼 C:\windows\system32\350AED48.DLL C:\windows\system32\MsIMMs32.dll C:\windows\system32\DiskMan32.dll C:\windows\kulionzx.dll C:\windows\system32\mxbman.dll C:\windows\system32\DbgHlp32.dll C:\windows\video.dll C:\windows\kulionwl.dll C:\windows\kulionwm.dll C:\windows\kulionrx.dll ravmsmon.dat ravztmon.dat avpqqsg.dat 希望能帮上大家谢谢
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:03 \| 显示全部短消息资料字号：小中大 7楼 C:\windows\system32\350AED48.DLL C:\windows\system32\MsIMMs32.dll C:\windows\system32\DiskMan32.dll C:\windows\kulionzx.dll C:\windows\system32\mxbman.dll C:\windows\system32\DbgHlp32.dll C:\windows\video.dll C:\windows\kulionwl.dll C:\windows\kulionwm.dll C:\windows\kulionrx.dll ravmsmon.dat ravztmon.dat avpqqsg.dat 希望能帮上大家谢谢
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:05 \| 显示全部短消息资料字号：小中大 8楼 [1ezyw9e3 / 1ezyw9e3][Running/Auto Start] <\??\C:\windows\system32\drivers\1ezyw9e3.sys><N/A> 随机8位 [h2ouwg / h2ouwg][Running/Boot Start] <\SystemRoot\System32\DRIVERS\h2ouwg.sys><N/A> 随机6位
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:07 \| 显示全部短消息资料字号：小中大 9楼漏图了图1没贴上去附件: 文件名:635621200791115623.jpg 下载次数:268 文件类型:image/pjpeg 文件大小: 上传时间:2007-9-1 12:07:01 描述:
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:	发表于： 2007-09-01 12:20 \| 显示全部短消息资料字号：小中大 10楼有可能是捆绑的.这是我一群里的发给我的样本.
帅的被贼砍强壮不惑狮帖子:813 注册: 2005-12-11 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT