很奇怪但是比较厉害的病毒，顺便求解决方法

显示全部楼层 · 发表于 2011-8-22 13:30:59

zuo 发表于 2011-8-22 12:55
这是个ADS流病毒，无法运行XT，PT，且马上文件被破坏（连文件名也改不了，PE下也不行）
映像劫持该病毒文 ...

我能用xt,gmer,tdsskiller 啊!

被修改一个驱动,待一会winpe下检查看一看!

显示全部楼层 · 发表于 2011-8-22 13:32:41

liulangzhecgr 发表于 2011-8-22 13:30
我能用xt,gmer,tdsskiller 啊!

被修改一个驱动,待一会winpe下检查看一看!

我发现MD学习模式也会影响病毒运行

显示全部楼层 · 发表于 2011-8-22 14:16:24

本帖最后由 vfloppy 于 2011-8-22 14:19 编辑

ADS流的生存环境是ntfs，那就摧毁它的生存环境，把ntfs改fat32，把被感染的文件放进fat32分区里进行清洗。

显示全部楼层 · 发表于 2011-8-22 14:28:46

zuo 发表于 2011-8-22 13:32
我发现MD学习模式也会影响病毒运行

全部关闭后再试... ...

显示全部楼层 · 发表于 2011-8-22 20:07:01

我之前就是中了这个不得已重装，所有的安全工具我都试过了，有些安全工具可以第一次运行，第二次运行的话要加入所有人读写权限才可以，我很奇怪你是怎么提取到样本的，这个流病毒我是无法复制样本的。

显示全部楼层 · 发表于 2011-8-22 20:37:02

本帖最后由 zarric.leung 于 2011-8-22 20:40 编辑

longhornfans 发表于 2011-8-22 20:07
我之前就是中了这个不得已重装，所有的安全工具我都试过了，有些安全工具可以第一次运行，第二次运行的话要 ...

嗯嗯，就是这样，第二次运行要权限，我擦

流是神马，我是下载得一个软件keygen

显示全部楼层 · 发表于 2011-8-22 22:00:11

解决方案: 下载小红伞的 Avira AntiVir Rescue System ，linux内核引导的光盘ISO

http://www.avira.com/zh-cn/suppo ... tivir-rescue-system

显示全部楼层 · 发表于 2011-8-22 22:01:56

卡巴 KILL

显示全部楼层 · 发表于 2011-8-22 22:37:54

本帖最后由小白鼠于 2011-8-22 22:52 编辑

路径：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\421e9fe3
键名：ImagePath
新键值："\systemroot\3818856002:3185664028.exe"

访问：罗马利亚。。。。

XueTr无法启动。。PowerTool 可以运行但点击到进程就被病毒强行关闭了。。。IceLight一线光可以运行但貌似没法杀进程。。蓝屏。。。然后没法启动系统。。

总的来说这个病毒还不是很厉害，动作很少~也许玩病多了。。

现在很多病毒要靠pe去解决

ps：我还记得A*V终结者出来时那时候杀毒有点摸不着头绪，，但都经历2~3年了，大家都有不少经验了。。

显示全部楼层 · 发表于 2011-8-23 06:18:09

小白鼠发表于 2011-8-22 22:37
路径：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\421e9fe3
键名：ImagePath
新键值："\systemro ...

win pe 的确不错!

[病毒样本] 很奇怪但是比较厉害的病毒，顺便求解决方法