关于隐藏属性的病毒Uninstall - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于隐藏属性的病毒Uninstall

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] 关于隐藏属性的病毒Uninstall

本主题由版主天月来了于 2010-9-16 15:07:35 执行设置精华/取消操作

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-08-23 22:07 \| 显示全部短消息资料字号：小中大 1楼关于隐藏属性的病毒Uninstall 这是个“条件感染性病毒”。样本来自：http://bbs.janmeng.com/thread-943867-1-1.html。这DD挺有个性——————不采取点儿特殊手段，即使下载了那个recycle.{645FF040-5081-101B-9F08-00AA002F954E}，你还是看不见此毒的真身！下图中那个快播Logo的病毒文件是俺用了点儿手段后才使它现身的 0.PNG (465.84 K) 2010-8-23 22:07:27 啥叫“条件感染性病毒”？故名思义，就是在一定条件下才感染文件。如果找到它的软肋，在NTFS格式的系统中，弄死它还是不算太难。先看看被我弄死的病毒尸体： 1.PNG (342.33 K) 2010-8-23 22:07:27 中此毒后，不要运行任何可执行程序。否则，你运行那个.exe，它就感染那个.exe。中毒后的第一步：用权限封死所有病毒文件（病毒文件及其路径见上图）。然后重启系统。重启系统后，走刚才的逆过程————给病毒程序添加权限，然后删除病毒文件及其添加的加载项和IFEO劫持项。 2.PNG (153.64 K) 2010-8-23 22:07:27 3.PNG (244.75 K) 2010-8-23 22:07:27 搞掂。第一次在True Image下玩儿它，运行病毒后，就着急用工具侦察、宰杀。结果————工具一个个都被它感染了。只好重启，脱离True Image。再进True Image，重新玩儿。有了第一次的经验，第二次，干净利索地把它灭了用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61 baohe 最后编辑于 2010-08-23 22:21:43
baohe 大版主帖子:72569 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-08-24 14:21 \| 显示全部短消息资料字号：小中大 2楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由 jks_风于 2010-8-24 13:38:00 发表刀光剑影的还没看清病毒就被XXOO了猫叔如何用权限封死那个病毒？还有这个条件感染性病毒的触发条件是什么？是特定的系统还是啥？ NTFS格式的系统。用权限封死病毒文件的操作： 1.png (150.31 K) 2010-8-24 14:21:02 2.png (177.15 K) 2010-8-24 14:21:02 3.png (176.29 K) 2010-8-24 14:21:02 4.png (197.20 K) 2010-8-24 14:21:02 5.png (189.54 K) 2010-8-24 14:21:02 6.png (198.72 K) 2010-8-24 14:21:02 7.png (192.55 K) 2010-8-24 14:21:02 8.png (189.79 K) 2010-8-24 14:21:02 9.png (160.12 K) 2010-8-24 14:21:02 10.png (124.42 K) 2010-8-24 14:21:02 baohe 最后编辑于 2010-08-24 14:32:08
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-08-24 14:27 \| 显示全部短消息资料字号：小中大 3楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由 jks_风于 2010-8-24 13:38:00 发表还有这个条件感染性病毒的触发条件是什么？是特定的系统还是啥？病毒进入系统时，如果未遇到任何抵抗，则释放的病毒文件就是本帖图2提到的那些。按本帖方法处理、重启后，无其它文件被此毒感染。如果遇到抵抗，则在%windows%\Temp目录下反复释放N多病毒程序（.exe和.dll），在系统跟目录下释放xxxxx.exe（x代表随机数字）。此xxxxx.exe出现后，用户运行哪个.exe，此毒即刻感染之（包括用户查找文件时使用的explorer.exe）。另：此时病毒还会针对非系统分区用户的.rar文件下手：解包、在rar包中植入病毒程序“绿化.bat”、再打包。 baohe 最后编辑于 2010-08-24 14:38:00
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-08-26 17:24 \| 显示全部短消息资料字号：小中大 4楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由夲號ヱ被ジ盜于 2010-8-24 16:01:00 发表在回收站里边捣鼓N分钟，终于现身这就是抵抗的结果吗？猫叔 [attachimg]635152[/a...... 你的第二张图显示的是用CAHIPS 阻止此毒运行的效果。这与徒手使用系统权限消灭此毒不是一回事。 baohe 最后编辑于 2010-08-26 17:25:25
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-08-27 16:39 \| 显示全部短消息资料字号：小中大 5楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由幸福没有终点站于 2010-8-27 10:10:00 发表请问高手这个文件可以删吗?怎么删? 你说的是哪个文件？ recycle.{645FF040-5081-101B-9F08-00AA002F954E}是中毒后病毒搞的“假回收站”，其内有隐藏的病毒程序Uninstall.exe。这个recycle.{645FF040-5081-101B-9F08-00AA002F954E}必须删除。
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-10-10 15:49 \| 显示全部短消息资料字号：小中大 6楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由潇湘竹于 2010-10-10 0:03:00 发表不能用瑞星直接查杀吗？那还用瑞星来干什么？都如此贴，都成了电脑专家了！医院不就是管治病的吗？每个病人进了医院都必须活着出来？否则，就像你这样质问：医院连治都不好病，要这医院干什么？！！这是什么思维逻辑啊？
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-11-22 16:36 \| 显示全部短消息资料字号：小中大 7楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由 xjscwl 于 2010-11-22 16:32:00 发表已经中招，系统无法启动，也无法重做系统；该怎么办啊！！！！急死人啊！！！用WINPE U 盘引导，在PE下搞。
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-11-23 09:08 \| 显示全部短消息资料字号：小中大 8楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由 xjscwl 于 2010-11-22 18:05:00 发表 PE下，所有程序文件都无法运行！ PE环境下，电脑硬盘中的所有程序当然无法运行。这是常识。 28楼的回复是让你用WINPE U盘引导到PE下重做系统。因为你说系统已经无法引导。具有引导功能的WINPE U盘应该是这样子的： 1、WINPE U盘MBR： 1.PNG (279.47 K) 2010-11-23 9:08:14 2、此WINPE U盘应包含DiskGenius这个必要的工具软件（可重建主引导记录、重建分区表、格式化硬盘.....） 2.PNG (231.40 K) 2010-11-23 9:08:14 3.PNG (413.14 K) 2010-11-23 9:08:14 3、此外，此WINPE U盘中还应有系统安装程序（本例是WINDOWS7 安装程序）。第二步完成后，运行此WINPE U盘中的系统安装程序，安装系统。 4.PNG (217.59 K) 2010-11-23 9:08:14 baohe 最后编辑于 2010-11-23 09:09:14
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-11-26 11:50 \| 显示全部短消息资料字号：小中大 9楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由 xjscwl 于 2010-11-26 11:46:00 发表大版主，再给讲讲如何让病毒现身吧，该用什么工具啊？水平太低，让您费心了！用XueTr查看病毒文件（能看见）。用XueTr也能删除病毒文件。
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-11-26 11:51 \| 显示全部短消息资料字号：小中大 10楼回复: 关于隐藏属性的病毒Uninstall 引用: 原帖由 xjscwl 于 2010-11-26 11:38:00 发表能给个U盘引导pe吗？发到我邮箱吧，3天了还是没搞定！这个可以在网上找到
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT