老病毒，手工查杀工具无法发现，求真相~

dragonsome

试过了，果然不行。
虚拟机中运行，服务、启动项、驱动、网络均未发现异常，唯一有迹可循的是隐藏文件选项被修改了，用process explorer可以找到该dll，但是重启后就不见了。

不懂。同求解。
ps：反复查看服务，未发现有异常啊。有发现的能否发个图？

zhq445078388

Kido(刻毒虫)正式名称:Conficker
非正式名称(行为命名):Downadup
是商业化的局域网蠕虫
是利用局域网弱口令 以及利用微软的漏洞对计算机进行感染
具有感染性
一般是利用rundll32写任务计划启动自身
漏洞列表:
MS08-067, MS08-068 和MS09-001
行为描述:
能够从不停变换的在线资源中下载其更新(从5W个算法生成的域名中随机抽取2000个域名尝试连接其中500个)
使用P2P网络作为额外的下载源
用强加密技术来防止其和其命令控制中心之前的通讯被干扰(包括但不限于数字签名认证以及其加密手段)
试图阻止反病毒软件进行反病毒数据库更新(包括但不限于断开云安全软件连接)

zhq445078388

解决方案:
将任务计划服务注册表导出 然后删除该注册表服务
重新启动计算机
使用msconfig或其他启动项管理工具禁止未知的启动项
再次重新启动(这次进入网络安全模式)
使用急救箱 或专杀工具 进行感染解除(建议使用可以进行文件替换的云端产品 因为kido会感染文件)
扫描完成后重新启动 双击导入之前导出的任务计划服务项 然后进入任务计划界面 删除所有任务计划
重新启动
过滤下启动文件(hips) 或使用急救箱等工具进行回扫
重新注册IE相关组建
卸载安装chrome,firefox浏览器

卸载非必须驱动程序并重新安装

重启→OK

kofgame520

zhq445078388 发表于 2012-5-2 18:22
Kido(刻毒虫)正式名称:Conficker
非正式名称(行为命名):Downadup
是商业化的局域网蠕虫

          只能感染XP  对win7无效

zhq445078388

kofgame520 发表于 2012-5-2 18:37
只能感染XP  对win7无效

有效
只是这几个漏洞已经补上了
但是弱口令继续可以感染

kofgame520

zhq445078388 发表于 2012-5-2 18:39
有效
只是这几个漏洞已经补上了
但是弱口令继续可以感染

           运行不了？

zhq445078388

kofgame520 发表于 2012-5-2 18:44
运行不了？

该病毒传播到本地后调用如Rundll32.exe加以随机7位字符的参数执行病毒加载功能，然后以远程线程注入方式将自身植入Svchost.exe进程获取系统服务权限，如果远程线程执行失败则改用APC方式。该病毒使用了独占打开方式，使之其他程序无法对其进行打开，绕过了杀毒软件扫描功能。

启动exe不在吗?
用那个双击去..

kofgame520

zhq445078388 发表于 2012-5-2 18:48
该病毒传播到本地后调用如Rundll32.exe加以随机7位字符的参数执行病毒加载功能，然后以远程线程注入方式将 ...

            没有那个文件啊

kofgame520

zhq445078388 发表于 2012-5-2 18:48
该病毒传播到本地后调用如Rundll32.exe加以随机7位字符的参数执行病毒加载功能，然后以远程线程注入方式将 ...

           里面就是bat文件  1个dll文件

zhq445078388

kofgame520 发表于 2012-5-2 18:49
里面就是bat文件  1个dll文件

http://help.360.cn/5030806/34141887.html
那可能那个不是针对WIN7滴?
刚百度 kido 感染 win7
结果搜到这个 应该可信度比较高

zhq445078388

kofgame520 发表于 2012-5-2 18:49
里面就是bat文件  1个dll文件

又找到一个 是卡巴的
http://bbs.kaspersky.com.cn/view ... mp;page=1&extra