一个上网页中的病毒，直接DOWN掉卡巴

batti

样本分析结果:

1.在SYSTEM32下生成ngpycxm.exe和pkeusvq.exe并且运行,互相守护,结束其中一个马上会重新运行
(也可能是7位随机字母,偶遇到的是如上名字)

2.添加2个启动项,分别指向以上2个文件
生成system32\meex.com(作用不详)

3.添加大量IFEO(印象劫持),全部指向SYSTEM32\ngpycxm.exe,基本上囊括了所有杀软和常用工具
比如:360.exe,icesword.exe,sreng.exe,autoruns.exe,CCcenter.exe,kav.exe等等

4.在每个盘符下(除了C盘)添加fmvluab.exe和autorun.inf,建立自动播放

PS:应该还会结束安全软件进程.不过偶这台机器是裸奔的,让他浪费表情了~~

处理办法:

1.将ICESWORD.EXE,SRENG.EXE,AUTORUNS.EXE重命名(随意,1.exe什么都行)
2.运行改名后的ICESWORD,文件-设置--禁止进线程创建 打勾
3.结束ngpycxm.exe和pkeusvq.exe进程,删除这2个病毒文件
4.去掉勾选,删除病毒添加的启动项(直接注册表删除或者SRENG,AUTORUNS都行)
5.运行改名后的AUTORUNS,点到印象劫持,删除病毒添加的项
6.删除每个盘符下的fmvluab.exe和autorun.inf

至此清理完毕
不算复杂

kof98

这病毒好厉害，十分野蛮，处理不到了

caolizhen

呵呵，如果lz装个HIPS就好了，像EQ，现在什么杀毒软件都不如HIPS，再说，EQ是3D防护，我自己设置了个规划，如果老兄喜欢，我就 给你

lovewsm

卡巴斯基互联网安全套装6.0
The requested URL http://bbs.kafan.cn/attachment.php?aid=75691 is infected with Trojan-PSW.Win32.OnLineGames.uw virus

下载防到了  但网页没试过

sean66wang

卡巴斯基反病毒6.0个人版
The requested URL http://bbs.kafan.cn/attachment.php?aid=75691 is infected with Trojan-PSW.Win32.OnLineGames.uw virus

dy13

应该是中了AV终结者之类的病毒！！