删不掉的病毒

红心王子

解压小a报了

啊弥陀佛

skype worm 微点砍

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\stwinsdat'
C:\Documents and Settings\Administrator\My Documents\stwinsdat\
  stwinsdat.exe
      [DETECTION] Contains detection pattern of the worm WORM/Skipi.C
      [INFO]      The file was deleted!
  STWINSDAT.EXE-3529398C.pf

uhthn2002

Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Paranoia Database - 4957
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\uhthn\Desktop\stwinsdat.exe

C:\Documents and Settings\uhthn\Desktop\stwinsdat.exe - Infected with PDB-2fe Malware program - Deleted

1 Files scanned
1 Infected files found
0 Suspicious files found
0 Files cured
1 Files deleted

孤独更可靠

分析完了

晕死了,弄了2小时

这个病毒还不错....

大概如下:

1\写入注册表,2项,可惜的是,没有加保护,删除掉的话,重启后他们就无法运行.

2\在Exlprer开远程线程,每6秒检测自身是否存在,若不在,则重新激活.

3\利用GetCurrentProcessId\OpenProcess等获得进程,发现一些安全工具则TerminateProcess.,没150毫秒循环检测一次..

具体如何判断还弄不懂..



4\生成一些副本,一共4个吧,不用管他们了..删除注册表后他们就无法启动

5\查找skype的的窗口等,会发送一些乱七八糟的东西,和MSN蠕虫原理差不多



6\修改HOSTS,基本上有点名气的杀软,升级网点都被劫持了..


解决方法,删除注册表:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <Services Start2><odcwinst.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Policies Options2><o>  [N/A]

重启,就OK了


5\

qiqi7300

红伞没过啊 每次下病毒都是红伞先搞定 微点反应没红伞快