1   1  /  1  页   跳转

[原创] 关于文件夹图标病毒2008.exe

关于文件夹图标病毒2008.exe

样本由“彩色的石头”网友提供。
对于新手,此毒欺骗性较大。多分区系统,可能更不易搞掂。
我的电脑只有一个分区,运行了一下此样本。搞起来相对容易一些。

1、病毒遍历根目录下的1、2级文件夹,并在同级目录下释放与文件夹同名的病毒文件.exe;将原文件夹变为隐藏、只读。

2、进程列表中可见两个相互守护的病毒进程(c:\windows目录下的10.exe和2008.exe)。要结束这两个进程,需要用特别点儿的手段。我是用SSM禁止其加载运行。用IceSword,禁止进程创建,再同时结束这两个进程,估计也行。

3、由于正常的文件夹已被病毒隐藏,用户用explorer.exe看到的“文件夹”其实都是病毒程序。因此,手工杀毒时,建议用WINRAR这样的工具寻找并删除病毒文件。

4、此毒修改注册表N处,大多是文件关联项。我用tiny阻止了这些更改,故不需特别处理。删除病毒加载项即搞掂。没有防护的条件下中招,这些文件关联项需要用工具修复。


5、此毒删除系统程序userinit.exe。杀净病毒后,先不要忙着重启。务必从同类系统%system%目录下拷贝一个正常userinit.exe到中招电脑的系统目录下。


用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-10-17 13:42:15
分享到:
gototop
 

回复: 关于文件夹图标病毒2008.exe



引用:
原帖由 networkedition 于 2008-10-17 13:41:00 发表
猫叔讲一下怎样设置通过tiny来阻止病毒对注册表的修改。


这个,不一定非得用Tiny搞。用瑞星主防也能做。

给你一个例子,用Tiny禁止更改.exe关联的设置如下:





gototop
 

回复: 关于文件夹图标病毒2008.exe



引用:
原帖由 帅的被贼砍 于 2008-10-17 14:20:00 发表
还可以...我也要个样本  hou2298@yahoo.com.cn



样本在:http://bbs.ikaka.com/showtopic-8558061.aspx
gototop
 

回复: 关于文件夹图标病毒2008.exe



引用:
原帖由 zihouse 于 2008-10-17 15:08:00 发表
[attachimg]445521[/attachimg]

?
用XB删的...进不去了


手工杀此毒,不要用XDELBOX。
用了,就上当。
看主帖 第五(红色粗体)部分叙述即可明白。


找张WINDOWS 安装光盘,用此光盘启动系统,拷贝userinit.exe到系统目录下。
最后编辑baohe 最后编辑于 2008-10-17 15:35:11
gototop
 

回复: 关于文件夹图标病毒2008.exe



引用:
原帖由 zihouse 于 2008-10-17 15:37:00 发表
用虚拟机试的 。。用XB删除要重启。。重启之后就进不去了。。

删除这个病毒要用别的工具。


【引用主帖】:

5、此毒删除系统程序userinit.exe。
杀净病毒后,先不要忙着重启。
务必从同类系统%system%目录下拷贝一个正常userinit.exe到中招电脑的系统目录下。
gototop
 

回复: 关于文件夹图标病毒2008.exe



引用:
原帖由 FCOME 于 2008-10-20 22:52:00 发表


引用:
原帖由 baohe 于 2008-10-17 13:52:00 发表
[quote] 原帖由 networkedition 于 2008-10-17 13:41:00 发表
猫叔讲一下怎样设置通过tiny来阻止病毒对注册表的修改。


这个,不一定非得用Tiny搞。用瑞星主防也能做。

给你一个例子,用Tiny禁止更改.exe


可以用。我的系统就是XP SP3。
gototop
 

回复: 关于文件夹图标病毒2008.exe



引用:
原帖由 天天都要爱 于 2008-10-20 12:38:00 发表
猫叔 把最后截图这个工具 传给我一份呗谢谢了!我的邮箱my1983830@126.com


那是tiny的一个组件(track'nreverse),不是单独的程序。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT