再次出击，伪迅雷木马Thunder.exe查杀

向东

今晚开机，EQ软件频频报警，各盘符有程序在创建autorun.inf文件，第一感觉，我中毒了。
打开Wsyscheck工具，马上显露出马脚

木马插入IE进程里面，定位了文件，把它提取出来，到http://virscan.org查了一下，果不其然，小毒一只。勾选全局卸载并删除文件，搞定。切换到安全检查项目，靠，竟然映像劫持了N多安全工具。

修复劫持点得我手都软了，靠，没办法才请出autoruns来修复劫持，暴汗。
查看了一下启动项目，发现了这么两个东东，看来祸首在这里阿，EQ规则写得有点松了，没想到被它钻这个漏洞进来。
右键打开启动文件夹，只看到了dfjje.exe这个文件，删除。小样，还挺狡猾的，初次看到Thunder.exe，疑问了几秒，我没有把迅雷设为开机启动阿。右键属性，才发现，这个文件不在当前用户启动文件夹当中，是在all user组中，狡猾，高，呵呵，不留情的删~~~~~~~
搞定所有手续后，WINDOWS清理助手
看来要调整一下EQ的安全规则了
病毒样本： virus.rar (101.96 KB, 下载次数: 53)

2008-10-19 21:21 上传

点击文件名下载附件

yk1234

修复映像劫持，我有绝招

runsisi

用hips也中毒  呵呵  不错

向东

请不吝赐教

向东

这次用EQ还中了毒，我分析了一下：
1 启动文件夹中，我没有作防范措施，导致漏洞被病毒插入
2 在系统文件夹中，system文件夹我没有作防范，照日常习惯写规则，我只防范了system32这个
吃一堑 长一智 ，看来很好EQ,还真不是件简单的事情

yk1234

呵呵，那我就打一下广告好了。
http://bbs.kafan.cn/viewthread.php?tid=251648&extra=&page=1
“解锁被限制运行的程序”功能可以有效解锁那些提示“请与您的系统管理员联系”而无法运行的程序，包括任务管理器、注册表编辑器、命令提示符、组策略等。另外，本功能还能解除映像劫持（只移除所有包含debugger键值的项，不会删除整个Image File Execution Options）。
点一下就都搞定了。

[ 本帖最后由 yk1234 于 2008-10-20 12:19 编辑 ]

cyp55066628

学习了  以前不知道有这个病毒的  真强

jumpahaha

见识了，不过楼主都没都没装杀软，真行。

zizhideboke

我下载来杀，4个只杀了3个

arthurm

病毒可以下载吗