使用fscs的首次中毒，请globe和david_sg莅临指导。

sob2007

原帖由 david_sg 于 2007-8-27 13:35 发表
这个病毒可以手动清除,前提就是要禁止网络，用Software Repair Engineer或者Hijackthis扫描一下电脑，找出病毒文件然后把相关的文件和注册表里的key删除，否则重新开机以后病毒会自己通过Internet下载来还原自己 ...

此trojan业已清除，昨晚22：50分检查了一下c:\windows,fscs6报有viking_lm之类的病毒，由于时间关系，全盘scan估计要等待至11月底进行了。

办公室还能上kafan，感觉还是很不错的。

david_sg

1，以后注意用windows update给windows xp打补丁。
2，fscs6的防火墙建议设置为home mode，home mode比office mode要安全的多。如果需要用到p2p MSN messenger之类的软件可以临时设置成office mode，用完以后改成home mode。如果对防火墙比较熟悉的话可以定制防火墙的规则，F-Secure的防火墙允许用户根据自己的情况制定自己的规则。
3，尽量使用非IE浏览器上网。
4，定期清理cache文件夹。
5，下载完软件一定要先查病毒。
6，定期扫描硬盘。

[ 本帖最后由 david_sg 于 2007-8-27 13:57 编辑 ]

sob2007

昨天21：51分发现的down[0].exe，至昨天晚上23：00关机为止，内存中无此down0进程，硬盘中亦查无此down0尸体。这至少说明了一个问题，可以解答那位bd人士的疑问。
fs7有hips以及sandbox，fscs6是没有的，但是cs6经过我前天的（无意中的）设置，已经成功防范并抵御了down0的入侵。6系列都可以做到，更何况是7系列呢？
那位bd人士有关fs是鸡肋的观点现在看来是根本站不住脚的，至少cs6就已经成功kill了down[0]。
办公室的机器为fs7，过些时间，我将陆续发表fs7之感言。可惜现在发不了图片了，我也不知道为什么！[:26:]

[ 本帖最后由 sob2007 于 2007-8-28 13:29 编辑 ]

sob2007

原帖由 david_sg 于 2007-8-27 14:34 发表
刚才翻公司的备案，我们2月份通过用户获取的的病毒的部分代码，这个downloader可以过KIS6，或许你中的病毒就是这个的变种。

.386
.model flat,stdcall
option casemap:none
;>>>>>>>>>>>>>>>>>>>>>>>>>>> ...

太感谢david了，我要晕了，1995年-1999年（高中、大学时期）的时候，我经常写一些汇编之类的小程序，还写pascal和c++等。

现在这样的日子已经一去不复返了。毕竟王江民的kv100、kv200都早已经扫进历史的垃圾堆了。

我也要为生存/工作奋斗，不写程序好多年。01年开始就不写程序了。现在it知识退步了。

说老实话，现在已经看不懂这些个汇编和非汇编的程序了。不做程序员好多年。[:27:]

david_sg

Could you please send the sample to me?I want to analyze it in our  malware machine.Thanks

david_sg

原帖由 sob2007 于 2007-8-27 14:44 发表


太感谢david了，我要晕了，1995年-1999年（高中、大学时期）的时候，我经常写一些汇编之类的小程序，还写pascal和c++等。

现在这样的日子已经一去不复返了。毕竟王江民的kv100、kv200都早已经扫进历史的 ...

我把那些code删掉了，漏出来有点违规。你自己看看就行了。

风雪

System Repair Engineer2.5(SREng)或者System Repair Engineer2.5(SREng)下载System Repair Engineer2.5扫描日志上来.
如果不能运行将下载的SREng.exe重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者改名为11BD.abc等等自己随便改运行.
sreng——智能扫描——扫描——保存日志——打开日志记事本SREngLOG——Ctrl+A——Ctrl+C——到论坛回复——Ctrl+V。
清理病毒与懂不懂语言没有直接关系.除非你要写专杀.

sob2007

原帖由 david_sg 于 2007-8-27 14:47 发表
Could you please send the sample to me?I want to analyze it in our  malware machine.Thanks

david来迟了一步啊，我昨天晚上已经delete了。毕竟globe说，留着不好，害人害己。

以前读大学的时候，经常想着害人，用汇编语言写病毒，是我(当时)最大的乐趣。

现在人老了，不中用了（能确保自己机器的安全就不错了），frankly speaking，想看那些source code，也已经心有余而力不足了。所以，还是删了的好，现在给我看，如读天书矣。

不过乐观估计我机器里面还是有很多别的病毒/木马的残余/尸体的，这2个多月要装修（机器已经五马分尸寄存在父母家，并且父母家里也没有网线/宽带，预计要等到11月，待装修完毕之后，我会将我全部的僵尸/非僵尸的sample发送一份给你。

forgive me，致歉。

sob2007

原帖由 风雪 于 2007-8-27 14:57 发表 清理病毒与懂不懂语言没有直接关系.除非你要写专杀

我和david_sg聊聊天，毕竟，我是最钦佩有实力的真正的技术派人士。

david_sg

Thank you pal, I deeply appreciate your time.