查看: 2564|回复: 9
收起左侧

卡巴VS美女游戏

[复制链接]
ariel0530
发表于 2007-5-13 21:40:45 | 显示全部楼层 |阅读模式
最近学校里美女游戏非常猖獗
经常是整个寝室的电脑集体瘫痪
正版诺顿、瑞星等纷纷崩溃
卡巴能否帮我撑过这场浩劫?
jpzy
发表于 2007-5-13 21:49:05 | 显示全部楼层
截取一个样本,上传到卡饭,或者自己上报到卡巴俄罗斯总部,两个小时以后升级病毒库即可查杀!!

另外,希望详细说说这个病毒的症状!让大家心理有个准备!
ariel0530
 楼主| 发表于 2007-5-13 21:57:08 | 显示全部楼层
截取样本我就不会了
症状还是很恐怖的
一般都是通过移动存储设备传播
会有美女游戏.exe文件
千万不要点!!!!
感染后会多出很多这个文件,cpu100%,系统时间也会出现异常,很多杀软瘫患,开始菜单点不开,即使点开也无法关机!!会出现提示:对不起,您无权进行这项操作!!!

当朋友告诉我最后这点时,他自己都要崩溃了,电脑到底是我们的还是病毒的??

大家要注意阿!据说usbcleaner可以查杀,但是还是很担心!!!
qw10010qw
发表于 2007-5-13 22:04:46 | 显示全部楼层
啊,又来个厉害的病毒了,
lacmiu
发表于 2007-5-14 00:00:02 | 显示全部楼层

那得注意一下了诶
不过RP好,不上钩的话还是挺安全的呢
beat2
发表于 2007-5-14 09:58:32 | 显示全部楼层
转个公告

        知识库编号: RSV0704690
内容分类: 蠕虫病毒         适用产品分类:瑞星杀毒软件.单机版.标准版.2007
瑞星杀毒软件.单机版.升级版.2007
瑞星杀毒软件.单机版.下载版.2007

关键词: 美女游戏;Worm.Pabug

『故障现象』 计算机感染了此类病毒后,瑞星杀毒软件、瑞星防火墙软件、瑞星卡卡上网安全助手等都无法使用。并且此病毒禁用了注册表编辑器和系统配置实用程序等命令,同时还会修改系统Hosts文件,使计算机无法访问反病毒网站,并且导致用户无法升级杀毒软件。瑞星命名该病毒为Worm.Pabug.*(其中*为变种名称)。 本文提供针对此病毒的手动处理方法。

【中毒症状】可能存在下面一种或多种症状:
1、无法打开瑞星主程序、瑞星监控,无法升级;
2、部分与瑞星相关的网页无法打开,如产品升级页面、用户注册页面、卡卡安全助手页面等等,提示“无法显示该页”;
3、很多反病毒软件、反流氓软件以及检测工具都无法使用,包括regedit、msconfig、卡卡上网安全助手、超级兔子、360安全卫士、AVP、IceSword等等;
4、无法显示隐藏文件;
5、hosts文件内容被恶意篡改,且文件属性为隐藏;
6、系统时间被修改。

【处理方法】

情况1:病毒已被杀毒软件清除,只是未解除应用程序的劫持,处理方法如下:

这种情况下,当运行被劫持的程序时会提示(如图 1),下图以运行瑞星杀毒软件程序为例:


步骤1、把卡卡上网安全助手主程序(默认路径C:\Program Files\Rising\AntiSpyware\Ras.exe)复制到其他目录,把复制后的文件改名,运行改名后的卡卡主程序,打开“系统启动项管理”-“应用程序劫持项”,把所有的勾选项都取消(如图 2)。

步骤2、打开卡卡上网安全助手主程序“IE及系统修复”页面,如果检测到Hosts项有异常,则点击“修复”按钮


情况2:病毒正在系统中运行,没有被清除的情况,则处理方法如下:
步骤1、如果已经安装有卡卡上网安全助手,则直接跳到步骤3,如果没有安装请做步骤2;

步骤2、
① 显示隐藏文件。如果注册表被病毒修改,则按照瑞星知识库文章处理,知识库编号RSQ0607685
http://csc.rising.com.cn/Knowled ... 711&Channel=RSQ
②修复\%windows\%system32\Drivers\etc\Hosts文件
③访问http://tool.ikaka.com/,下载并安装卡卡上网安全助手

步骤3、
①把卡卡上网安全助手主程序(默认路径C:\Program Files\Rising\AntiSpyware\Ras.exe)复制到其他目录,把复制后的文件改名,运行改名后的卡卡主程序,打开“系统启动项管理”-“应用程序劫持项”,把所有的勾选项都取消(如图 1)

②打开“系统启动项管理”-“登录项”,取消勾选病毒加载的自启动项
注意:如果您不确认哪些项目是病毒加载的启动项,建议不要随意取消勾选,以免因为误操作导致系统异常。

步骤4、打开瑞星杀毒软件主程序,并升级到最新版,然后全盘查杀病毒。
根据情况,有时重新启动计算机后,病毒程序会依据启动项的键值被重新加载,从而可能会恢复部分应用程序劫持项。此时需要重新利用卡卡上网安全助手取消应用程序劫持后再升级。

以上的方案适用于很多靠“应用程序劫持”来实现自己运行的病毒。
zhaonimm
发表于 2007-5-14 10:18:43 | 显示全部楼层
结束进程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等

用autoruns删除以下项目(建议用autoruns,一是没被禁,二是一目了然,注意先选Options-Hide Microsoft Entries):(实际上我自己用的是冰刃,改个扩展名就可以用,可以中止进程,阻止进程创建,也可以强行删掉文件,改动注册表,很不错)
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止

删除或修改启动项:
以用SREng为例
在“启动项目”-“注册表”中删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]

双击以下项目,把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

删除文件:
由于非系统盘即便右键打开也会有危险,应该采用其他方法,推荐用IceSword或WINRAR来做
删除:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf

系统修复与清理:

在注册表展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除,再新建正常的键值:
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun键的值,是否要改,要改为什么,视乎各人所需,一般默认为91(十六进制的)
此键的含义,请搜索网上资料,在此不再赘述

HOSTS文件的清理
可以用记事本打开%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”,然后点“保存”

最后修复一下服务被破坏的杀毒软件


以上是4月18日发的 可以借鉴下吧
ariel0530
 楼主| 发表于 2007-5-20 08:25:15 | 显示全部楼层
卡饭论坛里果然都是高手
dongdeya
发表于 2007-5-22 14:17:03 | 显示全部楼层
这个应该是映像劫持病毒吧.可能在IFEO里面动了手脚
暗天使
发表于 2007-5-22 15:16:47 | 显示全部楼层
恩,关键是预防为主
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:47 , Processed in 0.123260 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表