收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 (已找到解决办法)08年2月最新最强病毒—calc.exe —极 ...
12345下一页
返回列表 发新帖
查看: 14795|回复: 41
收起左侧

[病毒样本] (已找到解决办法)08年2月最新最强病毒—calc.exe —极毒极强大~~~

[复制链接]
5551551
发表于 2008-2-13 15:40:59 | 显示全部楼层 |阅读模式
2008年2月13日
今天到下午2点,都被一个病毒折磨得精疲力尽~~这个毒是一网友的电脑中的,除了卡巴之外,所有的杀软360,专杀之类都开不了,开不开删一个。粗粗一看有点像这个贴子里面的情况—http://bbs.kafan.cn/viewthread.php?tid=201803
但是远程看了之后才发现情况远没那么简单。因为这个病毒进不了安全模式。而上面贴子中那个还可以进。
病毒进程如下:
System Idle Process            0 Console                 0         28 K
System                         4 Console                 0        268 K
smss.exe                     924 Console                 0        472 K
csrss.exe                    996 Console                 0      3,452 K
winlogon.exe                1020 Console                 0     11,664 K
services.exe                1076 Console                 0      3,644 K
lsass.exe                   1088 Console                 0      1,536 K
svchost.exe                 1256 Console                 0      3,276 K
svchost.exe                 1320 Console                 0      2,356 K
svchost.exe                 1444 Console                 0     18,372 K
svchost.exe                 1496 Console                 0      1,768 K
svchost.exe                 1516 Console                 0      2,232 K
explorer.exe                1988 Console                 0     19,488 K
SOUNDMAN.EXE                 216 Console                 0      2,980 K
rundll32.exe                 336 Console                 0      5,004 K
nvsvc32.exe                  520 Console                 0      1,808 K
PnkBstrA.exe                 556 Console                 0      1,136 K
svchost.exe                  648 Console                 0      2,488 K
svchost.exe                  808 Console                 0      4,072 K
svchost.exe                  952 Console                 0      4,776 K
calc.exe                    1728 Console                 0      3,436 K
conime.exe                  3432 Console                 0      2,460 K
IEXPLORE.EXE                1776 Console                 0     11,492 K
hypwise.exe                 3280 Console                 0      3,588 K
QQ.exe                      3736 Console                 0     39,496 K
TIMPlatform.exe              688 Console                 0        952 K
Thunder5.exe                3376 Console                 0     61,852 K
calc.exe                    1772 Console                 0      7,304 K
cmd.exe                     1800 Console                 0      1,972 K
tasklist.exe                 684 Console                 0      7,048 K
wmiprvse.exe                3244 Console                 0      5,896 K

      红色部分即为病毒进程。这两个进程无法结束(以前可以用。ntsd命令结束这两个进程,现在不行了,结束了还重生)后来打开冰刃的监视进程创建看到该病毒进程同时还插入了services.exeexplorer.exe进程里面,以至总无法删除,后来把这几个进程都删了,出现死机,远程本来网速就慢,头疼。重启后病毒还在。

      病毒进程在就删不了病毒文件。我想搞个样本来,网友说该文件calc.exe无法访问。感觉现在新的病毒都学会这一手了,如果不弄个样本来想出对策,恐怕以后会屡屡受挫。

   提醒各位再次注意:2008最新最强病毒—calc.exe —四进程保护,比这个毒(http://bbs.kafan.cn/viewthread.php?tid=201803)又强出不少。开什么杀什么,进程无法结束。


    不过虽然没有捉到这个病毒,却也捉到了另一只AV病毒。附上给在家分析,不知道病毒是否就是来源于此?


    今天终于传来好消息了,这个朋友找到了杀毒的方法,我在这里记录一下,给以后再中毒的朋友参考。

终于有了解决的办法了

用软件修复安全模式就可以进到安全模式杀毒了
快乐生活
02.14 21:49
强毒~~  (2008-02-14 13:09:50)
我用wsys创建安全环境,然后把可疑的进程全部都关掉,再用恢复安全模式功能,最后重启,终于进了安全模式!yeah!!!
强毒~~  (2008-02-14 13:08:39)
我终于解决了问题!yeah!!!
快乐生活
02.14 21:50
上面这个朋友的QQ:171756915


[ 本帖最后由 5551551 于 2008-2-14 21:56 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +8 收起 理由
qianwenxiang + 8 感谢提供分享

查看全部评分

回复

举报

jimmyleo
发表于 2008-2-13 15:41:46 | 显示全部楼层
样本..这里是样本区...
回复

举报

xiaoxmj
发表于 2008-2-13 15:42:43 | 显示全部楼层
感觉好象象上兴远控,很难清除,除非用官方的专杀
回复

举报

冷冷
发表于 2008-2-13 15:43:22 | 显示全部楼层
能提供样本就好了
回复

举报

clovedsm
发表于 2008-2-13 15:45:42 | 显示全部楼层
第一,可以转到救援区去;第二建议刻录一张PE启动盘,非常有用而且非常好用,至少比dos下操作方便吧
回复

举报

clovedsm
发表于 2008-2-13 15:46:11 | 显示全部楼层
当年win9x下的杀毒,最好的就是dos启动,现在win pe启动,一样的
回复

举报

zzh161
发表于 2008-2-13 15:47:34 | 显示全部楼层
好像有个下载者也叫这个
回复

举报

Graybird
发表于 2008-2-13 15:51:38 | 显示全部楼层
Starting the file scan:

Begin scan in 'E:\virus\超强U盘病毒样本.rar'
E:\virus\超强U盘病毒样本.rar
  [0] Archive type: RAR
  --> .vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.AB
  --> autorun.inf
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Worm.Runauto.A
  --> main.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Dldr.Agent.F
  --> mdbfobb.exe
      [DETECTION] Is the Trojan horse TR/Agent.25989
  --> Setup.exe
      [DETECTION] Is the Trojan horse TR/Delf.XF
      [INFO]      The file was deleted!
回复

举报

woai_jolin
发表于 2008-2-13 15:54:39 | 显示全部楼层
Hello,

Thanks for taking the time to submit your samples to the Norman
Sandbox Information Center.  Customer delight is our top priority at
Norman.  With that in mind we have developed Sandbox Solutions for
organizations that are committed to speedy analysis and debugging.

Norman Sandbox Solutions give your organization the opportunity to
analyze files immediately in your own environment.

To find out how to bring the power of Norman Sandbox into your test
environments follow the links below.

Norman Sandbox Solutions
http://www.norman.com/Product/Sandbox-products/

Norman Sandbox Analyzer
http://www.norman.com/Product/Sandbox-products/Analyzer/

Norman Sandbox Analyzer Pro
http://www.norman.com/Product/Sandbox-products/Analyzer-pro/

Norman SandBox Reporter
http://www.norman.com/Product/Sandbox-products/Reporter/

Setup.exe : Not detected by Sandbox (Signature: NO_VIRUS)


[ DetectionInfo ]
    * Sandbox name: NO_MALWARE
    * Signature name: NO_VIRUS
    * Compressed: NO
    * TLS hooks: YES
    * Executable type: Application
    * Executable file structure: OK

[ General information ]
    * File length:       370688 bytes.
    * MD5 hash: 1fc3c296e10f13c197536f0191092b48.

[ Changes to filesystem ]
    * Creates file C:\WINDOWS\SysReBuild.exe.

[ Changes to registry ]
    * Creates value "SysReBuild"="C:\WINDOWS\SysReBuild.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
    * Creates a mutex Rabbit1975_03_23.
    * Will automatically restart after boot (I'll be back...).

[ Signature Scanning ]
    * C:\WINDOWS\SysReBuild.exe (370688 bytes) : no signature detection.



(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.

This file is not flagged as malicious by the Norman Sandbox Information Center. However, we can not guarantee that the file is harmless. If you still suspect the file to be malicious and if you urgently need to know for sure, please submit it to your local Norman support department for manual analysis.


************************************
Sent from an unmonitored email address.
Please DO NOT reply.
************************************
回复

举报

woai_jolin
发表于 2008-2-13 15:55:06 | 显示全部楼层
Hello,

Thanks for taking the time to submit your samples to the Norman
Sandbox Information Center.  Customer delight is our top priority at
Norman.  With that in mind we have developed Sandbox Solutions for
organizations that are committed to speedy analysis and debugging.

Norman Sandbox Solutions give your organization the opportunity to
analyze files immediately in your own environment.

To find out how to bring the power of Norman Sandbox into your test
environments follow the links below.

Norman Sandbox Solutions
http://www.norman.com/Product/Sandbox-products/

Norman Sandbox Analyzer
http://www.norman.com/Product/Sandbox-products/Analyzer/

Norman Sandbox Analyzer Pro
http://www.norman.com/Product/Sandbox-products/Analyzer-pro/

Norman SandBox Reporter
http://www.norman.com/Product/Sandbox-products/Reporter/

mdbfobb.exe : INFECTED with W32/AutoRun.CB.dropper (Signature: W32/AutoRun.CB)


[ DetectionInfo ]
    * Sandbox name: W32/AutoRun.CB.dropper
    * Signature name: W32/AutoRun.CB
    * Compressed: YES
    * TLS hooks: YES
    * Executable type: Application
    * Executable file structure: OK

[ General information ]
    * File might be compressed.
    * Decompressing Unk3!FSG?.
    * File length:        26080 bytes.
    * MD5 hash: 15f9da5caa665a11406a01acbd9b32fd.

[ Changes to filesystem ]
    * Creates file C:\Program Files\Common Files\System\tsjddsv.exe.
    * Creates file C:\Program Files\Common Files\Microsoft Shared\ajyoncb.exe.

[ Process/window information ]
    * Attempts to access service "wscsvc".
    * Attempts to access service "helpsvc".
    * Attempts to access service "wuauserv".
    * Attempts to access service "SharedAccess".

[ Signature Scanning ]
    * C:\Program Files\Common Files\System\tsjddsv.exe (26080 bytes) : W32/AutoRun.CB.
    * C:\Program Files\Common Files\Microsoft Shared\ajyoncb.exe (26080 bytes) : W32/AutoRun.CB.



(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.


************************************
Sent from an unmonitored email address.
Please DO NOT reply.
************************************
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-17 10:01 , Processed in 0.160690 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表