今天中了U盘木马，是针对卡巴的

332888868

今天中了U盘木马，是针对卡巴的

办公室的电脑，被一位MM 插了一下，就中了！  

系统时间立即被改成两年前的，卡巴跟着罢工  ，该木马在系统文件夹目录下生成的文件*.dll、*.exe、*dat等文件，并在CDEF盘的根目录下生成两个文件auto.exe和autorun.ini，在系统时间改回来之后，卡巴不能发现及删除上述病毒文件。

该木马还算是比较厚道的，如果不直接双击CDEF盘，就不会生成病毒文件，而且所有文件都可以删除。

在手动删除后 重启，各盘根目录下又生成auto.exe和autorun.ini。
没办法，只得向注册表进军，将注册表里面启动的可疑程序都删除了，重启，又是生成...郁闷中....

在用冰刃的时候，看见系统服务多个一项。呵呵，原来是服务类木马。

于是重启到安全模式下，用 sc delete 命令将服务删除。重启

本想着这样子应该就搞完了，于是试着将回收站里的病毒，放回系统，看看卡巴能否发现，郁闷的是，卡巴没有反应......

最后，在卡巴的信任程序里面发现了病毒的足迹....（太郁闷了，病毒好聪明啊！）
并在注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\profiles\Behavior_Blocking\profiles\pdm\settings\TrustedImageList    中删除含有病毒路径的项。

最后在百度在线查毒中，用瑞星扫了一下，没发现什么异常情况， 总算搞完。花了三个小时，郁闷ing 。

卡巴专家

楼主怎么不提供样本呢 ,没有样本卡巴怎么会知道呢 ,楼主怎么还在用卡6, ,快点用卡7,这样的事情不会再发生了
评论:楼主有二次躲过病毒的机会
1.禁止U盘自动运行
2.开启主动防御
遗憾的是两次机会楼主都没去做,导致发生这样的情况.这能怪谁呢?[:1:]

卡巴专家

真是不好意思，刚才有一件不爽的事情发生，所以火气大了点，望楼主见谅

深红的雪

应该是三次
3.防止修改系统时间

332888868

我晕，我只知道怎么删除....病毒在搞定之后，清空了

我有做到以下三点，但是，哪位MM 插入U盘点了一下之后，就全中了！！
1.禁止U盘自动运行
2.开启主动防御
3.防止修改系统时间(360的)

[ 本帖最后由 332888868 于 2007-12-14 21:05 编辑 ]

深红的雪

事实上，病毒修改系统时间的行为，主动防御是不报警的。
所以最后还是只有两次机会

卡巴专家

看来真是错怪你了，这种病毒的方式在卡饭学院也提过，没想到这么快就出这种病毒了，卡6对注册表的防护，特别是自身注册表项的防护存在缺陷，病毒很容易就可以过掉卡6的注册表保护，卡7最新的正式版好象已经改善了一些，建议楼主以后用卡7试一试，但是机子不好的话也不要试了

332888868

卡巴7好像占用内存较多，办公室的破机子带不动

深红的雪

被一位MM 插了一下，就中了！  

...

这句很强大

[ 本帖最后由 rappar 于 2007-12-14 21:14 编辑 ]

332888868

原帖由 rappar 于 2007-12-14 21:13 发表

这句很强大

不准瑕想...内容健康！ 色即是空....