手杀:200903231-200903234(增加200903235)8楼考考大家识别病毒眼力

银砾石

从简单的入手吧,有厉害的欢迎提供,另:感染的手杀比较困难,就不要提供了
关于工具的选择,为什么没有superkill?由于在虚拟机下不能正常使用(蓝),所以未加入

病毒名称:
卡巴:Worm.Win32.AutoRun.noq
可执行文件名称:sizhu.exe
路径:http://bbs.kafan.cn/thread-446059-1-1.html
测试声明:
以下行为仅代表在此次测试环境下的行为，不代表在全部环境下的行为。
测试环境:
OS:winxp sp3 (深度系统 v6.2)
FS:FAT32,仅有系统盘C
网络:本地连接禁用
使用工具:fire,uninstall manager,xuetr
测试过程:
1.uninstall manager 扫描C盘(图1),fire扫描全部启动项并导出未经过验证项目(图2)
2.运行sizhu.exe
3.重新启动计算机
4.uninstall manager重新扫描新增文件(图2)
5.使用um全部删除功能，并重新扫描,发现剩余未能删除文件(图3)
6.xuetr检查，未发现异常，使用其解锁功能删除剩余文件
7.fire重新扫描并导出全部未经过验证项目
8.比较fire两次扫描记录，删除添加项
9.重启,um扫描，未见多余文件，成功清除病毒
10.以上步骤仅为最顺手方法，非唯一方法。
测试总结:
1.做好日常防护工作
2.以面到点，先易后难

病毒名称:
卡巴:Trojan-Dropper.Win32.Agent.aiuf
可执行文件名称:dota命令攻略.exe  dota外挂.exe  精彩视频.exe  使用说明.exe
路径:http://bbs.kafan.cn/thread-446594-1-1.html
测试声明:
以下行为仅代表在此次测试环境下的行为，不代表在全部环境下的行为。
测试环境:
OS:winxp sp3 (深度系统 v6.2)
FS:FAT32,仅有系统盘C
网络:本地连接禁用
使用工具:fire,uninstall manager,xuetr
测试过程:
1.uninstall manager 扫描C盘(图1),fire扫描全部启动项并导出未经过验证项目(图2)
2.运行dota命令攻略.exe  dota外挂.exe  精彩视频.exe  使用说明.exe
3.重新启动计算机
4.uninstall manager重新扫描新增文件(图3)
5.使用um全部删除功能，并重新扫描,发现全部删除
测试总结:
1.做好日常防护工作

病毒名称:
可执行文件名称:a3.exe
路径:http://bbs.kafan.cn/thread-444090-1-2.html
测试声明:
以下行为仅代表在此次测试环境下的行为，不代表在全部环境下的行为。
测试环境:
OS:winxp sp3 (深度系统 v6.2)
FS:FAT32,仅有系统盘C
网络:本地连接禁用
使用工具:fire,uninstall manager,xuetr
测试过程:
1.uninstall manager 扫描C盘(图1),fire扫描全部启动项并导出未经过验证项目(图2)
2.运行a3.exe
3.重新启动计算机
4.uninstall manager重新扫描新增文件(图2)
5.使用um全部删除功能，并重新扫描,未发现剩余文件
6.使用xuetr扫描，未见异常
7.使用fire扫描并比较，未见异常，测试完成
8.以上步骤仅为最顺手方法，非唯一方法。
测试总结:
1.做好日常防护工作

病毒名称:
可执行文件名称:orz.exe
路径:http://bbs.kafan.cn/thread-368326-77-1.html
测试声明:
以下行为仅代表在此次测试环境下的行为，不代表在全部环境下的行为。
测试环境:
OS:winxp sp3 (深度系统 v6.2)
FS:FAT32,仅有系统盘C
网络:本地连接禁用
使用工具:fire,uninstall manager,xuetr
测试过程:
1.uninstall manager 扫描C盘(图1),fire扫描全部启动项并导出所有项目(图2)
2.运行orz.exe
3.重新启动计算机
4.uninstall manager重新扫描新增文件(图2)
5.使用um全部删除功能，并重新扫描,发现剩余未能删除文件(图3)
6.使用fire删除剩余文件
7.fire重新扫描并导出全部项目
8.比较fire两次扫描记录，删除添加项(位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下)
9.重启,um扫描，未见多余文件，xuetr未见异常，成功清除病毒
10.以上步骤仅为最顺手方法，非唯一方法。
测试总结:
1.做好日常防护工作
2.以面到点，先易后难

200903235
病毒名称:
可执行文件名称:33x(33个病毒包)
路径:http://bbs.kafan.cn/thread-445618-1-3.html
测试声明:
以下行为仅代表在此次测试环境下的行为，不代表在全部环境下的行为。
测试环境:
OS:winxp sp3 (深度系统 v6.2)
FS:FAT32,仅有系统盘C
网络:本地连接禁用
使用工具:fire,uninstall manager,xuetr,wsyscheck
测试过程:
1.uninstall manager 扫描C盘(图1),fire扫描全部启动项并导出所有项目(图2)
2.运行33x
3.重新启动计算机
4.uninstall manager重新扫描新增文件
5.使用um全部删除功能，并重新扫描,发现剩余未能删除文件(图3)
6.wsyscheck构建安全环境（这个功能很方便，特别是很多病毒的时候）
7.根据um记录，用fire保护所有未能删除项目(图4)
8.重新启动
9.用xuetr扫描，未发现异常项目
10.fire重新扫描并导出全部项目
11.比较fire两次扫描记录，删除添加项(主要位于AppInit_DLLs下)
12.用fire删除上述保护项目
13.重启,um扫描，未见多余文件，xuetr未见异常，成功清除病毒
14.以上步骤仅为最顺手方法，非唯一方法。
15.附加xuetr简单扫描图(图5)
测试总结:
1.做好日常防护工作
2.以面到点，先易后难

[ 本帖最后由 银砾石 于 2009-3-23 14:48 编辑 ]

dl123100

支持一下 好久没有手工杀毒的帖子了

ps 第一个死牛病毒貌似会干扰SREng、XueTr等工具的数字签名校验（如果是推广ku2009的那个） 实际手工杀毒识别起来有点麻烦

[ 本帖最后由 dl123100 于 2009-3-23 13:14 编辑 ]

银砾石

在我这边这几个都没什么大动作.....有没加驱难杀点的提供个?

Beloved

只会用APK工具找到进程，然后删除

dl123100

HBKernel、confiker还有以前曲版出教程的某个样本都有点麻烦 不过用火流星处理下文件后立即重启应该还不算太难杀

银砾石

刚才试那个33个病毒后发现，实际上有的不难杀，不过有的时候很烦

曲版的那个试了下，虚拟机下无动作

[ 本帖最后由 银砾石 于 2009-3-23 14:02 编辑 ]

lixiang1977

手动杀毒的关键是中毒以后怎样手动分析出哪些是病毒项哪些是正常项，怎样手动清除病毒项，直接使用软件对比扫描似乎有投机取巧的嫌疑？

[ 本帖最后由 lixiang1977 于 2009-3-23 14:19 编辑 ]

银砾石

测试总结:
1.做好日常防护工作

呵呵，200903234是33个的集合，如果不参考UM扫描记录，那么可以：
根据加载模块、签名项、非正常HOOK项、文件日期、文件物理位置等来判断

嗯，下次测前不扫描

考考大家眼力，下图中哪些文件是病毒的可能在80%以上？(郁闷，虚拟机还原点设置错误，把病毒还原了过来)
理由充分的奖励人气，，嗯，只有3个，先到先得吧
说明下：
测试日期是2009-3-23
基本不安装新软件----抱歉，应该是：新系统，基本不安装新软件

补充一下第一个获得人气的我外加10经验奖励，大家一起HAPPY一下——水木

[ 本帖最后由 银砾石 于 2009-3-23 21:27 编辑 ]

tawny2008

过来支持先，人气晚上补，很久没看手杀测试了，哈哈，支持

lixiang1977

原帖由 银砾石 于 2009-3-23 14:32 发表
测试总结:
1.做好日常防护工作

呵呵，200903234是33个的集合，如果不参考UM扫描记录，那么可以：
根据加载模块、签名项、非正常HOOK项、文件日期、文件物理位置等来判断

嗯，下次测前不扫描

考考大家眼力 ...

呵呵，这样就更加期待了！