这个比较厉害，把微点给关了

桃源梨花

原帖由 野马 于 2007-10-13 13:31 发表
大家不用担心，该样本只是关闭了微点的控制中心的进程，其他防护进程还是完好的！
解压已知病毒，病毒无法运行
运行未知病毒，病毒程序自动退出。

这么多喊着过微点的，都不过如此。

runsisi

原帖由 桃源梨花 于 2007-10-13 20:40 发表

这么多喊着过微点的，都不过如此。

已经成功生成文件   添加自启动了    而且重启后   微点可以启动服务   但托盘图标出不来   报错

中翔

没敢实验，怕麻烦，请楼主上报微点官方论坛

Nblock

再放图

capsshift

红伞报了。

Starting the file scan:

Begin scan in 'C:\Users\lenovo\Pictures\hy.rar'
C:\Users\lenovo\Pictures\hy.rar
  [0] Archive type: RAR
  --> hy.EXE
      [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
      [WARNING]   The file was ignored!

这就是为什么用红伞加微点的原因之一啊。

桃源梨花

病毒分析：
1.复制自身至

{盘符}:\sbl.exe（意思是"杀不了"吗？）

%sys32dir%\dream.exe

%sys32dir%\1.inf

%sys32dir%\plmmsbl.dll（此为系统UrlMon.dll备份）

在每个分区下生成

{盘符}:\autorun.inf   

输入法开启软键盘。

    2.尝试连接远程服务器下载病毒文件安装至用户计算机

hxxp://www.afdafdadfaf.com/ts.jif

hxxp://www.fafadfafdadf.com/ts.jpg

hxxp://www.afddfqerfasdfasf.com/ts.rar

    3.尝试使用批处理命令关闭系统Intemet连接共享和防火墙服务

cmd.exe /c net stop sharedaccess

    4.关闭带以下关键字的杀毒软件、杀毒网页、一些安全软件及任务管理器等

360tray.exe

360safe.exe

avp.exe

防火墙

任务管理器

木马清道夫

木马克星

超级巡警

主线程

NOD32

NOD32核心

微点

安全卫士

木马杀客

NOD32 内核

杀毒

江民

金山

这破玩意，今天下午整惨我了，Ghost后TMD继续分析它。其实到这一步就很清楚，用冰刃手动清除文件和注册项就可以了。

[ 本帖最后由 桃源梨花 于 2007-10-14 08:55 编辑 ]

cl666

楼上的强人

绅博周幸

此病毒乃本人修改杰作也

龙井茶

老周很有成就感哇?

野马

原帖由 桃源梨花 于 2007-10-13 23:32 发表
这破玩意，今天下午整惨我了，Ghost后TMD继续分析它。其实到这一步就很清楚，用冰刃手动清除文件和注册项就可以了。

有什么事吗？我都翻来覆去运行过好几遍。