1   1  /  1  页   跳转

[原创] 手删病毒实录

收藏
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-15 22:24 | 显示全部 短消息 资料
字号: 1楼

手删病毒实录

(一)
下班一回家,我哥哥就告诉我:刚才在用我的笔记本时,登陆到某个游戏攻略网站后(尽管GOOGLE已经提示该网站含有恶意代码),结果瑞星杀软连续弹出三个对话框,说发现病毒,在全部选择了“清楚病毒”后,好像没事了,然后就再没开网页了。

呵呵,这下省事了,直接把网线拔掉准备上单机游戏。突然系统提示:“在脱机状态下不可用,重试OR取消?”谁会在脱机状态下运行IE进程?而且关闭这个对话框之后,每隔一分钟弹一次,看来只有病毒了……晕晕。
这下子俺来兴趣了:立刻拔掉网线,扫描了份SRENG扫描日志,内容如下(省略了一些不重要内容):


引用:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
……………………………………
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <AGRSMMSG><; AGRSMMSG.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [File is missing]
    <switch><; c:\windows\system32\壁纸自动换.exe>  []
==================================
启动文件夹
[dfjje]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\dfjje.exe -->  [File is missing]><N>
==================================
服务
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
……………………………………
[Rising Scan Service / RsScanSrv][Stopped/Auto Start]
  <C:\Program Files\Rising\Rav\ScanFrm.exe><Beijing Rising Information Technology Co., Ltd.>
==================================
驱动程序
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Stopped/Manual Start]
  <system32\drivers\ac97intc.sys><Intel Corporation>
……………………………………
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>
[用于 Windows XP 的 Intel(R) PRO/Wireless 7100 适配器驱动程序 / w70n51][Stopped/Manual Start]
  <system32\DRIVERS\w70n51.sys><Intel? Corporation>
==================================
浏览器加载项
[ThunderAtOnce Class]
  {01443AEC-0FD1-40fd-9C87-E93D1494C233} <d:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll, (Signed) Thunder Networking Technologies,LTD>
……………………………………
[添加到QQ表情]
  <D:\Program Files\QQ2007\AddEmotion.htm, N/A>
==================================
正在运行的进程
[PID: 924 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 644 / Administrator][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4115]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2497]
[PID: 736 / SYSTEM][C:\Program Files\Rising\Rav\rsnetsvr.exe]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 12]
    [C:\Program Files\Rising\Rav\NComm.dll]  [Beijing Rising Information Technology Co., Ltd., 6.0.0.9]
    [C:\Program Files\Rising\Rav\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [C:\Program Files\Rising\Rav\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [C:\Program Files\Rising\Rav\ProcComm.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 46]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
…………………………………………
[PID: 788 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\browselc.dll]  [Microsoft Corporation, 6.00.2600.0000]
    [d:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 8, 120]
    [d:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 20]
    [d:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 16]
    [C:\WINDOWS\system32\MSGINA.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [d:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.5.34]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
[PID: 888 / Administrator][C:\Program Files\Rising\Rav\RsTray.exe]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.22]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\Rav\ComServ.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.49]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\Program Files\Rising\Rav\rslang.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 27]
    [C:\Program Files\Rising\Rav\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [C:\Program Files\Rising\Rav\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [C:\Program Files\Rising\Rav\rsxml.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 2]
    [C:\Program Files\Rising\Rav\ProcComm.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 46]
    [C:\Program Files\Rising\Rav\MonState.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 7]
    [C:\Program Files\Rising\Rav\ScanEvnt.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.12]
    [C:\Program Files\Rising\Rav\rsguilib.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 70]
    [C:\WINDOWS\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
    [C:\Program Files\Rising\Rav\rsconf.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 3]
    [C:\Program Files\Rising\Rav\RSAPPMGR.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.1]
    [C:\Program Files\Rising\Rav\CfgDll.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.13]
    [C:\Program Files\Rising\Rav\rspalvd.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.21]
    [C:\Program Files\Rising\Rav\ravbintl.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 25]
    [C:\Program Files\Rising\Rav\mruleui.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 10]
    [C:\Program Files\Rising\Rav\MonTray.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.89]
    [C:\Program Files\Rising\Rav\PngDll.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 4]
    [C:\Program Files\Rising\Rav\RavITray.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 19]
    [C:\Program Files\Rising\Rav\ScanPrxy.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.13]
    [C:\Program Files\Rising\Rav\rsmginfo.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 11]
[PID: 916 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 272 / Administrator][C:\WINDOWS\system32\ntsd.exe]  [(Verified) Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[PID: 584 / Administrator][C:\WINDOWS\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1896 / Administrator][C:\program files\internet explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\browselc.dll]  [Microsoft Corporation, 6.00.2600.0000]
    [d:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.5.34]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [d:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 8, 120]
    [d:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 20]
    [d:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 16]
    [C:\WINDOWS\system\jjxzajcj32dl.dll]  [N/A, ]
[PID: 1492 / Administrator][C:\WINDOWS\system32\ntsd.exe]  [(Verified) Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[PID: 692 / SYSTEM][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 22]
    [C:\Program Files\Rising\Rav\rsconf.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 3]
    [C:\Program Files\Rising\Rav\RSAPPMGR.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.1]
    [C:\Program Files\Rising\Rav\CfgDll.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.13]
    [C:\Program Files\Rising\Rav\proccomm.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 46]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\Program Files\Rising\Rav\rsstub.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 12]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\Rav\rstask.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 35]
[PID: 896 / SYSTEM][C:\Program Files\Rising\Rfw\RavTask.exe]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 22]
    [C:\Program Files\Rising\Rfw\rsconf.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 3]
    [C:\Program Files\Rising\Rfw\RSAPPMGR.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.1]
    [C:\Program Files\Rising\Rfw\CfgDll.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.18]
    [C:\Program Files\Rising\Rfw\proccomm.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 46]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\Program Files\Rising\Rfw\rsstub.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 12]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\Rfw\rstask.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 35]
[PID: 2872 / Administrator][D:\sreng\SRE9b4eb966.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\sreng\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]
==================================


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
最后编辑超级游戏迷 最后编辑于 2009-01-15 23:08:33
打酱油的……
分享到:
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-15 22:25 | 显示全部 短消息 资料
字号: 2楼

回复: 手删除病毒实录

(二)
日志扫描完了,该分析了。
晕,又是长长的,按顺序看吧……

1、“注册表”
好像没有异常哦……

2、“启动文件夹”
[dfjje]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\dfjje.exe -->  [File is missing]><N>
晕,在“开始--程序--启动”的下级菜单下设置任何开机自启动程序是俺最痛恨的,这个……找到一个漏网的。

3、“服务”、“驱动程序”
看上去一大堆,俺眼拙,啥异常的也没看出来……

4、“浏览器加载项”
一串熟悉的,不过没看到异常的……

5、“正在运行的进程”
最费眼睛的活,进程和模块一起看吧……
看到这里后,眼睛一亮:
[PID: 1896 / Administrator][C:\program files\internet explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\SHELL32.dll]  [Microsoft Corporation, 6.00.2900.3051 (xpsp_sp2_gdr.061219-0316)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\browselc.dll]  [Microsoft Corporation, 6.00.2600.0000]
    [d:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.5.34]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [d:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 8, 120]
    [d:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 20]
    [d:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 16]
    [C:\WINDOWS\system\jjxzajcj32dl.dll]  [N/A, ]
呵呵,一个C:\WINDOWS\system\目录下的陌生DLL文件插入了IE进程。立刻到C:\WINDOWS\system目录下去找这个天外来客,这一看不要紧,除了发现这个jjxzajcj32dl.dll文件外,还发现了一个用7-zip文件图标的jjxzwzjy090115.exe。哈哈,从文件名来看显然是一伙的,还都赤裸裸的不用隐藏属性,我汗。可惜SRENG扫描日志没发现它(可能没有运行)。用写字板记录了这两个文件所在完整路径和文件名后,继续往下看。后面……没发现异常的哦。

6、“文件关联”、“Winsock提供者”、“Autorun.inf”、“HOSTS”、“文件进程特权扫描”、“计划任务”、“API-HOOK”、“隐藏进程”
还好,没有异常……

7、日志看完了,该下手了。
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-15 22:26 | 显示全部 短消息 资料
字号: 3楼

回复: 手删除病毒实录

(三)
找到病毒了,咋整呢?

先到C:\Documents and Settings\Administrator\local settings\temp和C:\Documents and Settings\Administrator\local settings\Temporary Internet Files目录下,删除系统临时文件和IE缓存;

再找到C:\Documents and Settings\Administrator\「开始」菜单\程序\启动,一刀把dfjje.exe这个病毒开机启动文件剁了。然后停一会观察,发现没有重生。但“在脱机状态下不可用,重试OR取消?”这个对话框依然在弹,看来肯定跟C:\WINDOWS\system\jjxzajcj32dl.dll、C:\WINDOWS\system\jjxzwzjy090115.exe有关。

U盘插上,运行xdelbox1.6,结果弹出错误对话框(UNKNOWN EXCEPTION),虽然能够出现XD主程序界面,但“立即重启执行删除”功能无法正常运行,看来得换软件了。

再运行ICESWORD1.22,结果……瑞星弹出对话框推荐阻止ICESWORD.EXE加载驱动程序,我倒……

将冰刃加入白名单后,出现主界面,文件--设置--勾选“禁止进线程创建”、“禁止协件功能”--回车,找到C:\WINDOWS\system\jjxzajcj32dl.dll、C:\WINDOWS\system\jjxzwzjy090115.exe两个文件,先右键选“删除”,结果EXE文件挂了,DLL文件还在,NND。找到jjxzajcj32dl.dll右键后选择“强制删除”,结果这个瘟神也被请出了俺的电脑(停了1分钟以上,发现被删除文件未再生,好了)。最后老规矩,文件--设置--取消“禁止进线程创建”、“禁止协件功能”的勾选--回车,然后重启……该死的“在脱机状态下不可用,重试OR取消?”对话框,BYE-BYE……

之后用笔记本上的瑞星杀软扫描扫描了C:\WINDOWS\system\jjxzajcj32dl.dll、C:\WINDOWS\system\jjxzwzjy090115.exe、C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\dfjje.exe三个文件(删除之前有打包,呵呵),瑞星很遗憾地全部MISS。而用另一台台式计算机上的瑞星杀软(最新版本)再扫描,则全部都报病毒……回头看看笔记本上的瑞星杀软,好像好几天没升级了,都是游戏惹的祸……
最后编辑超级游戏迷 最后编辑于 2009-01-16 10:14:47
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-15 22:26 | 显示全部 短消息 资料
字号: 4楼

回复: 手删除病毒实录

(四)

总结一下:

1、保持杀软病毒库始终处于最新版本,从我这个例子应该看到其重要性,不要忽视哦……

2、相比BAIDU,GOOGLE还是比较贴心,对可能存在恶意软件的网址,都会给出贴心的提示,推荐搜索资料时用GOOGLE引擎取代BAIDU(你说百度中文网址比GOOGLE多?自己定吧,我的建议只是针对安全方面)。不要无视GOOGLE这些提示,否则你可能会麻烦上身。

3、杀软提示有病毒后,请在第一时间拔掉网线;如果在网页查找资料杀软提示有恶意代码,请第一时间在拔掉网线后清理系统临时文件和IE缓存,这样,之后的清除工作会很轻松。

4、少到没有名气的小网站溜达,超级游戏迷们切记。

-----The  End------
最后编辑超级游戏迷 最后编辑于 2009-01-15 23:16:23
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-16 02:57 | 显示全部 短消息 资料
字号: 5楼

回复: 手删病毒实录



引用:
原帖由 shephter 于 2009-1-16 0:33:00 发表
以后多教教大家怎么分析 吧
早就写过了,自己到精华帖中找去吧……
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-16 10:12 | 显示全部 短消息 资料
字号: 6楼

回复: 手删病毒实录



引用:
原帖由 aaccbbdd 于 2009-1-16 10:09:00 发表

不对吧
我记得见过好几个这个东东的
貌似注册表里都有病毒项目 
注册表写操作被瑞星主防拦截了。
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-16 11:04 | 显示全部 短消息 资料
字号: 7楼

回复: 手删病毒实录

补充一下:

1、在网线与计算机物理隔离,或ADSL未拨号的状态下,如果未运行IE浏览器进程,反复出现“当前网页在脱机状态下不可用,重试OR连接?”对话框的话,基本可以断定IE进程被非法调用,这表示计算机可能中毒。因此,如果您怀疑您的计算机中毒或有恶意软件作怪,可以在断网状态下测试一下,可能有用……

2、我中的这个病毒瑞星定义为QQFISH木马,貌似就是传说中的以弹出QQ消息钓鱼欺骗的病毒,呵呵,亲历了一遍……

貌似没啥可补充的了……
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-16 15:56 | 显示全部 短消息 资料
字号: 8楼

回复: 手删病毒实录



引用:
原帖由 Enao2005 于 2009-1-16 15:16:00 发表
既然是看网页中的,说明楼主的系统和第3方软件补丁没打全,最好还是检查下,才是治本的方法,呵呵!
的确如此。电脑公司特别版7.5盗版WIN XP SP2系统,问题多多。

试过安装SP3补丁包和后续系统补丁,结果被WGA风骚了一把,郁闷……
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-16 17:49 | 显示全部 短消息 资料
字号: 9楼

回复 17F Enao2005 的帖子

flash:最新10b;
UUSee网络电视:没有;
百度搜霸:未安装;
PPStream:2年前的版本;
暴风影音:2年前的版本;
迅雷5:625版本,据说后期版本伤硬盘;
联众游戏:不玩,谁知道安装没有;
超星阅读器:貌似没安装;
RealPlayer10.5/11:好像是10以下版本;
Qvod Player:没关心过,QQ是07版的,这个版本也不会有多新。

汗,看来漏洞不少……

顺便回家看看系统自动更新缺了那些补丁,感谢楼上提供补丁序号……
最后编辑超级游戏迷 最后编辑于 2009-01-16 17:50:40
打酱油的……
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT