菜鸟发现未知病毒，请高手帮忙！

dikex

原帖由 EQ2 于 2007-5-13 00:11 发表
影子可以吗？？？？？

我没有影子去测试，但如果用测试的话，不开全盘保护的话，有危险

The EQs

偶一直都开全盘保护

solcroft

只靠SSM跑毒，不配上带有FD功能的软件的话，遇到恶性蠕虫就好玩了

这里写了两个文件来杀毒，希望对楼主有用
这个病毒靠两个进程不断再生，避免自己被终止，所以写了个简单的vbs文件来把两个进程都同时干掉，不给它们再生的机会
然后个小小的.reg文件来恢复病毒对注册表的更改
两个文件照次序运行，然后把
C:\WINDOWS\system32\dnebdil.exe
C:\WINDOWS\system32\qcrwwxc.exe
C:\WINDOWS\system32\TDown1.exe
这三个文件删掉，就应该没事了

[ 本帖最后由 solcroft 于 2007-5-13 02:41 编辑 ]

dikex

原帖由 solcroft 于 2007-5-13 01:09 发表
只靠SSM跑毒，不配上带有FD功能的软件的话，遇到恶性蠕虫就好玩了

这里写了两个文件来杀毒，希望对楼主有用
这个病毒靠两个进程不断再生，避免自己被终止，所以写了个简单的vbs文件来把两个进程都同时干掉， ...

还有一些东西呢

文件：各个非系统分区根目录下:autorun.inf和mpqoisq.exe

注册表关于隐藏文件的：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL   CheckedValue的值

还有就是windows防火墙的服务SharedAccess被禁用了，这个看着办吧

最后就是这个C:\WINDOWS\system32\TDown1.exe，暂时不清楚它的行为……

The EQs

最后一个文件的行为

solcroft

原帖由 dikex 于 2007-5-13 03:35 发表


还有一些东西呢

文件：各个非系统分区根目录下:autorun.inf和mpqoisq.exe

注册表关于隐藏文件的：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL  ...

晕，我是看你的帖子照着办的，原来看不完，漏了
先去吃个饭，回来再干

solcroft

原帖由 EQ2 于 2007-5-13 03:36 发表
最后一个文件的行为
http://bbs.kafan.cn/attachments/month_0705/20070513_991ddc5a16382cd1b3a0CPaszrYXnJwZ.png

用你的SSM跑一下吧，OP的提示不清不楚地

solcroft

Killvirus v2.0 发布

压缩包里有三个文件，一个vbs，一个reg，一个bat。先运行vbs，然后reg，再重启系统后运行bat。
vbs的作用不变，还是来干掉病毒的两个进程。reg和bat经过修改后可以恢复让杀软运行和显示属性隐藏的文件，bat则重新启动自带防火墙和删掉病毒体。

tddown我运行了一下，主要是解放dll文件，然后用来挂全局钩子，还有在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下创建一个项目。因为是挂全局钩子，所以dll文件必须重启系统后才删除。我现在没compiler，不能写个exe直接unhook那个dll，所以只好用重启+bat这个比较笨拙的方法了。

非系统目录下的autorun，还是让楼主自己动手来删除了
经过这次经验，我才真正体会到自己对注册表的了解有多糟糕

[ 本帖最后由 solcroft 于 2007-5-13 07:18 编辑 ]

qiqi00612

这类型的我前两天领教过了,中了的话KAV开不了的,开360时会报错的,有个方法就是找一些不出名的软件去查,手工杀,我用的是黄山,这软件好好用但太强了,所以不到最后也不敢用,....修了之后KAV可用了,然后就是冰刀了,把程序文件名改一下就可以开了,之后干什么自己后着办吧,还有就是这毒好恶,以上做到了只是可以运行大多软件,有些还不行的,要把服务一些不是windos的把原文件了删了,小心的是有会改服务路径的毒也就是说这个服务项本来是windows的,合法的,可这病毒一改把其路径改成自己的,那这个服务也是合法的,只是运行的东东不一样了,要小心这个啊!然后就是升级KAV后查杀一次,然后重启再查一下服务!还有一个橙色八月吗?现在专杀没有更新了,可病毒还在UP啊,不过这怎么UP这专杀还是能查的出来.

qiqi00612

原帖由 solcroft 于 2007-5-13 04:06 发表
Killvirus v2.0 发布

压缩包里有三个文件，一个vbs，一个reg，一个bat。先运行vbs，然后reg，再重启系统后运行bat。
vbs的作用不变，还是来干掉病毒的两个进程。reg和bat经过修改后可以恢复让杀软运行和显示 ...

我个我前几天就上传了样本啊,是U盘类的,是一客户拿到小店打印时中的....强!现在可以删了啊,你看看是不是这个

尊敬的用户，您好！

      
　　 您上报的样本文件包含病毒程序 Virus.VBS.Small.a，请您及时更新病毒库进行查杀。 　　

感谢您对卡巴斯基的信任与支持！
我们诚恳地希望您来电或来信寻求关于产品的技术支持服务，如果您有关于卡巴斯基公司的合理化建议也希望您与我们联系。
24小时技术支持热线022-66211266
中文主页：http://www.kaspersky.com.cn/
技术支持邮箱：support@kaspersky.com.cn
病毒上报邮箱：virus@kaspersky.com.cn

卡巴斯基中国技术服务中心            70号工程师为您服务
=======  2007-05-08  13:38:07 您在来信中写道：=======
>密码是:virus这是我在一用户U盘上提取的,有个脚本,绝对有问题,请分析一下,谢谢.   
是5月10号回我的