一个非常强悍的病毒，目前没有工具能够清除，搞了2天都没解决，希望大牛帮忙

左手

天月来了 发表于 2011-8-25 22:43
你看他名嘛，ID那明显的

我们一个群内不知不觉就那么叫他铺路图了

谢谢天月。。
我也觉得是他ID的谐音。。

freesoft00

以前提过这个问题。可是他发布的时候还是只是简单的程序打包，连一个最起码的readme.txt都没有。小软件有时候解决解决大问题。呵呵。

天月来了

他发布的主要几个常用工具都在我那瑞星卡卡论坛的反毒区的置顶工具贴有说明的。

至于变量问题已经早就完全和系统自身的变量相同了，完全支持常用通配符的。

pluto1313

freesoft00 发表于 2011-8-25 22:48
以前提过这个问题。可是他发布的时候还是只是简单的程序打包，连一个最起码的readme.txt都没有。小软件有时 ...

呵呵，我是太懒，改不掉～～～

pdatx

virusdefender 发表于 2011-8-22 20:27
我在pe下删除了那个一长串数字的文件后就没事了啊。你可能没处理干净，我用的powertool。

弱弱的问大虾
如果用RemoveIT Pro ？

virusdefender

pdatx 发表于 2011-8-26 10:22
弱弱的问大虾
如果用RemoveIT Pro ？

没试过，我反正各种工具都用过了，没有删除成功，那次是是显示文件不存在了，但是开机进程还在，我以为删除成功了呢。

states

再次看到这个帖，无聊下来虚拟机运行了一下，阻止APK工具， 我使用XUET改名后正常运行，感染AFD.sys，mswsock.dll 在WINDOWS创建****：****.exe格式的流文件。


无MBR感染、无随机、无全盘感染，修复不是很难
修复方法1：恢复内核钩子，删除回调，删除WINDOWS下创建的文件，替换AFD.sys，mswsock.dll文件 重启

修复方法2：WINPE下转换NTFS为FAT32（“这个病毒在某些情况下会无法发作（我遇到过一次）” 因为文件系统是FAT32病毒失效）

evilrabbit

states 发表于 2011-8-29 15:45
再次看到这个帖，无聊下来虚拟机运行了一下，阻止APK工具， 我使用XUET改名后正常运行，感染AFD.sys，mswso ...

无随机？我逗了。。不是apk。是ark。。改了名也不行的，病毒运行是需要一定时间才发作的。
驱动是随机感染，不一定就是AFD.sys

states

evilrabbit 发表于 2011-8-29 15:55
无随机？我逗了。。不是apk。是ark。。改了名也不行的，病毒运行是需要一定时间才发作的。
驱动是随机感 ...

抱歉R写成P了

至少我运行了3次都一样，至于感染其它驱动用同样的方法修复就行了啊

evilrabbit

states 发表于 2011-8-29 16:22
抱歉R写成P了

至少我运行了3次都一样，至于感染其它驱动用同样的方法修复就行了啊

不行的。我胡乱试验，然后window系统下备份driver目录所有文件。pe系统下 一个个校对md5.到时候就知道了。呵呵 随机感染的。修复方法？我没测感染不感染exe。这玩意要想修复的话，首先还原正常系统环境吧。不是很好搞。