收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 这个病毒无法被卡巴认出来,我杀完后,电脑老是反复登录?
返回列表 发新帖
查看: 2193|回复: 6
收起左侧

这个病毒无法被卡巴认出来,我杀完后,电脑老是反复登录?

[复制链接]
kowloons
发表于 2007-10-20 12:50:56 | 显示全部楼层 |阅读模式
运行后,在system32目录后,产生3个文件:
candoall.exe
masxml32.dll
massltuas35.dll


第一个 candoall.exe 是超级隐藏文件,必须在冰刃的文件管理器中才能看到!是一只手的图标

把这3个文件删除后,重启XP后,电脑老是反复登录????

[ 本帖最后由 kowloons 于 2007-10-20 12:52 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

promised
发表于 2007-10-20 13:12:10 | 显示全部楼层
就是上次先锋论坛被挂的东西http://bbs.kafan.cn/viewthread.php?tid=143349
等下给你个处理方案
回复

举报

eubyo
发表于 2007-10-20 13:21:05 | 显示全部楼层
试了一下,
"已阻止应用程序 '1.exe' 改写文件, C:\WINDOWS\system32\passsd.exe"
阻止了应没问题了吧
回复

举报

promised
发表于 2007-10-20 13:27:23 | 显示全部楼层
强制删除C:\WINDOWS\system32
alldele.ini
hideme.sys
allinstall.exe
passsd.exe
MASSLTUAS35.DLL
masxml32.dll
candoall.exe
删除注册表
HKEY_CLASSES_ROOT\AllDll.AllBHO
HKEY_CLASSES_ROOT\AllDll.AllBHO.1
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System中DisableRegistryTools
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中Homepage
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_LOCAL_MACHINE\software\microsoft\command processor\中autorun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
修改注册表
HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon中Userinit数值设为C:\WINDOWS\system32\userinit.exe,   (,不要漏)
主页被改请自行改回,建议装ie7

[ 本帖最后由 promised 于 2007-10-20 14:13 编辑 ]
回复

举报

mofunzone
发表于 2007-10-20 13:39:48 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Users\morgan\Documents\1.rar'
C:\Users\morgan\Documents\
  1.rar
    [0] Archive type: RAR
    --> 1.exe
        [DETECTION] Is the Trojan horse TR/DelFile.E
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!
回复

举报

The EQs
发表于 2007-10-20 13:59:32 | 显示全部楼层
这个病毒会新建
C:\WINDOWS\system32\passsd.exe
C:\WINDOWS\system32\hideme.sys
C:\WINDOWS\system32\allinstall.exe
C:\WINDOWS\system32\masxml32.dll
C:\WINDOWS\system32\MASSLTUAS35.DLL
C:\WINDOWS\system32\candoall.exe
会删除C:\file.exe
会修改如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor "autorun" = C:\WINDOWS\system32\candoall.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\candoall.exe
HKEY_CLASSES_ROOT\AllDll.AllBHO.1 "" = WEB·´²¡¶¾³ÌÐò
HKEY_CLASSES_ROOT\AllDll.AllBHO.1\CLSID "" = {1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOT\AllDll.AllBHO "" = WEB·´²¡¶¾³ÌÐò
HKEY_CLASSES_ROOT\AllDll.AllBHO\CLSID "" = {1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOT\AllDll.AllBHO\CurVer "" = AllDll.AllBHO.1
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023} "" = WEB·´²¡¶¾³ÌÐò
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}\ProgID "" = AllDll.AllBHO.1
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}\VersionIndependentProgID "" = AllDll.AllBHO
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}\InprocServer32 "" = C:\WINDOWS\system32\masxml32.dll
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}\InprocServer32 "ThreadingModel" = Apartment
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}\TypeLib "" = {04750F2D-DE63-4790-90F4-C5CE892E5AA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1798BEA6-E891-46B7-A1F8-C15780D0A023} "" = WEB·´²¡¶¾³ÌÐò
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0 "" = AllDll 1.0 Type Library
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0\FLAGS "" = 0
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0\0\win32 "" = C:\WINDOWS\system32\masxml32.dll
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0\HELPDIR "" = C:\WINDOWS\system32\
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C} "" = IAllBHO
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}\ProxyStubClsid "" = {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}\ProxyStubClsid32 "" = {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}\TypeLib "" = {04750F2D-DE63-4790-90F4-C5CE892E5AA4}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}\TypeLib "Version" = 1.0
回复

举报

qigang
发表于 2007-10-20 19:58:40 | 显示全部楼层
RX20.14.52没啥反应。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-20 01:41 , Processed in 0.132551 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表