卡巴也有不行的时候！

Cye3s

原帖由 <i>jpzy</i> 于 2007-9-11 22:16 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1704684&ptid=129445" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />
不是很清楚LZ是怎么中的招！<br />
不过LZ杀毒的手法挺厉害，如果是启动项有病毒加载项，而且去不掉，那么开机病毒就会驻留内存，这样才会监视进程管理器，监视IE等……这样的情况下，怎么可能直接就删除病毒文件的本体呢 ...

<br />
LZ双系统,2003杀XP下的毒,2003下病毒没运行,想怎么玩就怎么玩

dayao4321

楼主大概在捆风

zgw001

只是把自己的经历发上来，没想到遭到这个多卡巴fans的BS，现在决定删除自己第一楼上所贴内容！同时，本人也BS不看清内容（双硬盘、双系统）以及凭空武断的所谓fans!

小满飞

我用卡巴觉得还可以

sifang

說什麽都不懂得.....

jpzy

原帖由 zgw001 于 2007-9-12 09:16 发表
防不住的。KAV、KIS对这类病毒都不太管。也许KFAN对我说的有意见，但这是我切切身的经历。星期天，在家上网，突然KIS提示有50个连接试图访问我的电脑，我立即断网，还是中招了！卡巴被杀了！启动不了了！进程中也被自动清除了。在启动的进程中多了两个一个是pioroip.exe还有一个是yygymik.exe,中断前一进程中断不了，中断后者则退出进程管理器。
我的双硬盘，我从另一硬盘启动2003，用SEVER版的KAV对中毒的XP系统进行扫描，提示有一个文件有木马，删除后重启XP系统，卡巴依然死翅翅的！
从网上下载金山的终结者专用工具4.5扫描了一下，提示没有感染文件。而且系统日期也正常。上网搜索两这个文件，只要一了输入，病毒就自动关闭济览器。在注册表中发现启动时自动加载了上述二项，并且还加载了rypbyrgt lfcnvan两个没有扩展名项，只要一删除，病毒就会自动关闭注册表编辑器！（此处上下文连接，并没有提到切换了系统，所以造成了误解）
最后没有办法用系统自带的搜索查出yygymik.exe和pioroip.exe及其在\windows\prefetch中的所有-pf文件，将其删除，并且发现这两个文件在\progra~1\common~1\和\windows\目前下还建个目录，通过比对，将其也删除，还是用系统自带的搜索查rypbyrg和lfcnvan,将相关的予以删除，好象rypbyrg还在各个分区上建立了一个EXE文件，也一并删除！
直接关闭电源，重启病毒二进程消失！病毒基本搞定，但此时卡巴还是启动不了，提示AVP.com文件缺失，原来它也被virus给删除了。

首先向LZ道歉，我虽然看到了LZ的帖子写了双系统，可是因为理解的问题，所以没有想清楚LZ是怎么删除的病毒！
我不是攻击LZ，也不是特别维护卡巴！主要是我用卡巴没有遇到过类似的情况。

而且LZ可以自己看看上面的表述，你说上网搜索文件名，病毒会关闭浏览器，这说明病毒在运行，那么应该是在你的XP系统下面，紧接着后面就说用自带的搜索找到了这两个文件，并且删除了，所以我感到奇怪，病毒在内存中，怎么删除的了呢？我想，这里应该是你再次进入了2003的系统以后所做的吧！

其实这个时候的处理方法应该是首先用工具来回复被劫持的镜像，然后用冰刃，syscheck等工具关闭两个病毒进程并删除相关文件，驱动，服务项，最后清理启动项和注册表，恢复安全模式！

我承认卡巴不是神，不过好的习惯更加重要。不知道LZ是怎么中的毒，上网的时候还是要注意的！！

zgw001

楼上说的有理！俺用卡巴以前也从没有中过招。

zgw001

中毒的过程是：准备下载一个电视卡驱动文件，结果指向另一个页面，打开那页面时，卡巴提示有50个连接访问我的电脑，俺立即断网，还是中招了！

zgw001

网上也有了！http://zhidao.baidu.com/question/35167945.html

救命 哪位高手进来看看这是什么病毒：yygymik.exe pioroip.exe
悬赏分：0 - 解决时间：2007-9-10 15:26
救命 近来看这是什么病毒


XP的卡巴被自动关闭,出现进程yygymik.exe pioroip.exe 所有应用程序开不了 打开网页也会被自动关闭 还有安全模式也无法进，一进就马上重启！！！
这个病毒怎么杀
知道的说下 谢谢！！！！
提问者： kai7901 - 试用期 一级
最佳答案
你中的这个病DU是“AV终结者”，也就是帕虫病DU，或者8位随机数字字母病DU

“AV终结者”病DU发作症状

1.生成很多8位数字或字母随机命名的病DU程序文件，并在电脑开机时自动运行。

2.绑架安全软件，中DU后会发现几乎所有杀DU软件，系统管理工具，反间谍软件不能正常启动。

3.不能正常显示隐藏文件，其目的是更好地隐藏自身不被发现。

4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

5.破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

6.当前活动窗口中有杀DU、安全、社区相关的关键字时，病DU会关闭这些窗口。假如你想通过浏览器搜索有关病DU的关键字，浏览器窗口会自动关闭。

7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病DU程序文件，通过自动播放功能进行传播。很多用户格式化系统分区后重装，访问其他磁盘，立即再次中DU。

8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此。

■防范措施

对于病DU而言，良好的防范措施，好过中DU之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病DU，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病DU专家们向记者提供了针对该病DU防范措施：

1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀DU处理，建议采用具有U盘病DU免疫功能的杀DU软件，如KV2007独有的U盘盾技术，可以免疫所有U盘病DU通过双击U盘时运行。

2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

3. 即时更新杀DU软件病DU库，做到定时升级，定时杀DU。

4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病DU。

5.关闭windows的自动播放功能。

■传播方式

1.通过U盘、移动硬盘的自动播放功能传播。

2.A V终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病DU泛滥有关。

你中的这个病DU是“AV终结者”，也就是帕虫病DU，或者8位随机数字字母病DU
“AV终结者”中DU后5步解决方案-以及最新4.5版本专杀工具下载[屏蔽DU字]

zgw001

http://hi.baidu.com/mcoffice/blo ... c5abecce1b3ef1.html

遭遇AV终结者变种病毒（原创）2007年09月09日 星期日 08:46 A.M.          昨晚用百度搜索乱点网页，瑞星（已经是最新版本病毒库，看来瑞星还要努力）和天网防火墙突然自动退出，再想打开根本没反应，尝试打开安全360卫士等安全软件也没反应。我的第一应就是拔网线，哈。知道一定中招了，呵呵！

          既然瑞星暂时失效，只能手工杀毒。以下是杀毒思路与大概过程，紧供参考

用Wsyscheck分析可疑进程,这点需考经验





pioroip.exe,yygymik.exe,SysWFGwd2.dll,SysWFGQQ2.dll    初步判断这些文件就是病毒,然后定位到文件






已经非常明显,再打开lfcnvan.inf 查看


原来各分区还生成了一个rypbyrg.exe 病毒,用Kill AutoRun 清理


再免疫


手工清除上面的病毒文件,可以用Wsyscheck(强烈推荐)结束病毒进程并删除病毒文件,之后安全软件即可打开,用不同的安全软件交叉杀毒(杀毒鸡尾酒疗法,哈),修复启动项等,可以用Autoruns和System Repair Engineer,之后重启电脑,确认没问题插上网线继续上网.哈!