1   1  /  1  页   跳转

[原创] 关于那个“难删”的3.pif

收藏
本主题由 版主 天月来了 于 2008-10-5 9:54:52 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-09-29 23:13 | 显示全部 短消息 资料
字号: 1楼

关于那个“难删”的3.pif

见到几个帖子,说这个3.pif挺NB。
找样本运行了一下,不想他们说的那么难搞。
招数吗,还是用"软件限制策略"禁止病毒程序加载运行;规则用“散列规则”或“路径规则”均可。

设置好上图所示的"软件限制策略"后,重启。删除病毒文件。如果那个3.pif删不掉,用IceSword宰它(因IFEO劫持IceSword不能直接运行-----可以改名运行)。


至于病毒IFEO劫持、删除安全模式问题-----可以用SRENG修复;
病毒更改系统时间问题----自己再改回来就是了。
因中/杀此毒损失的wuauclt.exe----从同样版本的系统中拷贝一个到%system%目录下即可。


用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-09-29 23:25:17
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-09-29 23:20 | 显示全部 短消息 资料
字号: 2楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 aaccbbdd 于 2008-9-29 23:17:00 发表
散列规则?不需要路径吧?猫叔?


创建“散列规则”,需要确认相应文件的MD5。当然要知道并给出相应程序的路径。

特例:中此毒后,无法建立针对c:\windows\system32\dllcache\wuauclt.exe的散列规则。此时,用路径规则即可。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-18 17:06 | 显示全部 短消息 资料
字号: 3楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 mywill 于 2008-10-18 16:34:00 发表
为什么我设置的散列规则里没有图片上的描述的呢??
不会是版主你自己写上去的吧?
而且我是禁用了这个文件~但怎么也删不了~~
安全模式修复了~用冰刃也删不了~~
  


汗!
散列值是系统自己找的,不是用户自己写的。添加散列规则、按路径找到相应文件、应用、确定即可。

你不会设置散列规则吧?
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-18 17:18 | 显示全部 短消息 资料
字号: 4楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 mywill 于 2008-10-18 17:17:00 发表
那就对了啊~~我是这样做的~~~
不过那个3.pif还是没办法删掉~~
开机的时候他已经没有自启动了~~  


3.pif----可以用IceSword强制删除
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-18 17:28 | 显示全部 短消息 资料
字号: 5楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 mywill 于 2008-10-18 17:23:00 发表
冰刃试过了~~
点了强制删除后只是一闪而过~~
没有删除~
我把冰刃的扩展名改为com~这有影响吗?


冰刃肯定可以删除3.pif。
不过,要多操作一步:点“强制删除”(没删掉);接着再来一次“删除”(普通删除)。OK!
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-18 17:37 | 显示全部 短消息 资料
字号: 6楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 aaccbbdd 于 2008-10-18 17:30:00 发表
NTFS权限
没权限引起的不能删除吧

貌似DOS删除才行。。。


若会用IS的话,无此必要。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-18 17:41 | 显示全部 短消息 资料
字号: 7楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 kekao 于 2008-10-18 17:38:00 发表
最新的mm.exe变种.组策略没有什么效果.


估计是此毒删除了组策略吧?或者是病毒禁用了mmc.exe。

能否将你那个“最新的mm.exe”发上来看看?
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-18 18:20 | 显示全部 短消息 资料
字号: 8楼

回复: 关于那个“难删”的3.pif



引用:
原帖由 kekao 于 2008-10-18 18:09:00 发表
这个我简单的试了一下.组策略没什么效果.具体提示什么,忘记了.
主要动作与以前的没什么区别.
请版主看看.


软件限制策略依然有效:


结束病毒进程后,灭之。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT