[口胡]07年01月25号病毒战报,好口野的病毒

ARMS.Z · 发表于 2007-1-25 15:32:01

早上,游戏中的我被同学召唤寻求技术支援,Y的又中毒了OTZ

丢下DSL过去帮他弄了4小时,初步有点成果

此病毒会强行跳转到一个叫www。 gb198 。com的渣网,进程中多了windows/system32/com目录下的smss.exe和lsass.exe进程,要两个一起关,不然它们回互相召唤,每个分盘根目录也有两个玩意,aotorun.inf不用说肯定有,还有一个应该是随机命名的东西,并修改注册表让你看不到隐藏属性文件

用WINDOWS清理助手把上面提到的几个东西杀掉了,注册表和系统文件夹的几个病毒经常光顾的地方也查过没事,不过我知道这肯定没这么简单,用另外一个软件再查,好吧,我承认这毒是有点料,把所有QQ相关和WINRAR相关的东西都感染了OTZ,打开即提示错误,病毒复活,看来这玩意是威金类的变种,二话不说,有杀错没放过,全部文件粉碎处理

目前仍在追查残党中,如果有前辈跟这病毒有过战斗经验的,还麻烦指点下在下

[ 本帖最后由 ARMS.Z 于 2007-1-25 15:33 编辑 ]

GOO444 · 发表于 2007-1-25 15:35:26

进来学习下

breaker · 发表于 2007-1-25 15:37:20

ME滴机器只要中了毒立刻格系统

反正硬盘只有6G C盘一半3G……里面除了系统文件啥也米有格了我不心疼

顶多浪费点时间装系统

catting · 发表于 2007-1-25 15:40:21

恢复回原样，不行就重装

ARMS.Z · 发表于 2007-1-25 15:40:25

原帖由 breaker 于 2007-1-25 15:37 发表
ME滴机器只要中了毒立刻格系统

反正硬盘只有6G C盘一半3G……里面除了系统文件啥也米有格了我不心疼顶多浪费点时间装系统

阁下的机器是什么年代的OTZ

原帖由 catting 于 2007-1-25 15:40 发表
恢复回原样，不行就重装

这机器从来没有任何备份工具,更没有开系统还原

[ 本帖最后由 ARMS.Z 于 2007-1-25 15:41 编辑 ]

砂之私语 · 发表于 2007-1-25 15:42:34

unlocker美啊

ARMS.Z · 发表于 2007-1-25 15:49:57

原帖由 砂之私语 于 2007-1-25 15:42 发表
unlocker美啊

啥文件我都删得了............就是不知道能不能清理干净

砂之私语 · 发表于 2007-1-25 15:53:30

启动--F8-进安全模式下

打开SREng--启动项目--注册表--删除以下两个键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D157330A-9EF3-49F8-9A67-4141AC41ADD4}?><> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WPDShServiceObj><> [N/A]

我的电脑--右键属性--硬件--打开设备管理器--查看，显示所有隐藏设备--在非即插即用驱动程序--找到以下两个驱动停用。
[lhparjj / lhparjj]
<\SystemRoot\\SystemRoot\System32\drivers\lhparjj.sys><N/A><\SystemRoot\\SystemRoot\System32\drivers\ljniljp.sys><N/A>
[ljniljp / ljniljp]

在SREng--系统修复--浏览器加载项，删除以下键值
[IE搜索工具条]
{BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>

使用Icesword结束以下两个进程，显示隐藏文件，并删除以下文件
[PID: 2028][C:\WINDOWS\system32\com\smss.exe] [N/A, 1.00]
[PID: 2580][C:\WINDOWS\system32\com\lsass.exe] [N/A, N/A]

依次右键打开每个盘，删除下面两个文件：autorun.inf和pagefile.pif

结束，重启

catting · 发表于 2007-1-25 16:02:00

原帖由 砂之私语 于 2007-1-25 15:53 发表
启动--F8-进安全模式下

打开SREng--启动项目--注册表--删除以下两个键值

<{D157330A-9EF3-49F8-9A67-4141AC41ADD4}?><>

<WPDShServiceObj><>

我的电脑--右键属性--硬件- ...

这方法我老爸讲过,我只会用不会讲

ARMS.Z · 发表于 2007-1-25 16:06:34

原帖由 砂之私语 于 2007-1-25 15:53 发表
启动--F8-进安全模式下

打开SREng--启动项目--注册表--删除以下两个键值

<{D157330A-9EF3-49F8-9A67-4141AC41ADD4}?><>

<WPDShServiceObj><>

我的电脑--右键属性--硬件- ...

死鱼叔,你是大好人,貌似以上只有40%的症状符合我同学的情况...........下面注册表那一票都没事,驱动也没有

我现在只想找被感染文件,

我不想用BIT DEFENDER口牙.........那比卡吧死机更卡

砂之私语 · 发表于 2007-1-25 16:10:53

那东西比卡巴捂得严实啊~~而且现在的病毒一出来先抢着干翻卡吧....

暗·奇牙 · 发表于 2007-1-25 16:15:53

原帖由 breaker 于 2007-1-25 15:37 发表
ME滴机器只要中了毒立刻格系统

反正硬盘只有6G C盘一半3G……里面除了系统文件啥也米有格了我不心疼顶多浪费点时间装系统

啥系统啊？才3G，XP都装不下。
我的老40G硬盘还感觉忒小呢……6G

catting · 发表于 2007-1-25 16:20:45

6G啥电脑啊

wbsnb · 发表于 2007-1-25 16:21:53

80G已经塞满，DVD刻录救急中

300GB硬盘是大势了

breaker · 发表于 2007-1-25 16:22:08

ME的机器是从土里挖出来的古董

联想1+1啊！！！
除了加了条256内存以外其他都是原配置绝对和286有的拼

XP系统是我硬装进去的因为喜欢XP的界面来我家修机器的人都惊了说我居然能把XP塞进去

ARMS.Z · 发表于 2007-1-25 16:23:03

原帖由 砂之私语 于 2007-1-25 16:10 发表
那东西比卡巴捂得严实啊~~而且现在的病毒一出来先抢着干翻卡吧....

BD的功能的确强的没话说,4个引擎啊.................要是内存小都不够它吃

深层扫描也很无敌.................

卡吧死机瑞星江民之流仇家太多,我早就没用了,目前用AVG系列

fantasy_x · 发表于 2007-1-25 16:27:15

原帖由 breaker 于 2007-1-25 16:22 发表
ME的机器是从土里挖出来的古董

联想1+1啊！！！
除了加了条256内存以外其他都是原配置绝对和286有的拼

XP系统是我硬装进去的因为喜欢XP的界面来我家修机器的人都惊了说我居然能把XP塞进去

6g 很大了我当年的1＋1可是2g的……

高野晶 · 发表于 2007-1-25 16:39:59

昨天刚杀完，没想象中恐怖，用清理助手干掉表层后然后打开杀毒软件杀（然后睡觉），提示手动删除，粉碎掉后，今晚再查杀一次

ARMS.Z · 发表于 2007-1-25 16:49:47

原帖由 高野晶 于 2007-1-25 16:39 发表
昨天刚杀完，没想象中恐怖，用清理助手干掉表层后然后打开杀毒软件杀（然后睡觉），提示手动删除，粉碎掉后，今晚再查杀一次

我就怕它死灰复燃

BaoTu · 发表于 2007-1-25 17:07:22

系统上还原卡美~

		自动登录	找回密码
密码			注册