至今遇见的最强病毒
至今遇见的最终强病毒至今遇见的最强病毒
单位一台电脑现状
1.任何杀毒软件全部无法启动(360,瑞星,诺德,杀马)双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。
2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示隐藏文件;
3.打开进程管理器,居然没有发现可疑进程,一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项
后来发现有DL1.EXE进程一会蹦出来一会又消失
4.重启想进入安全模式,发现不能进入,一进就蓝屏,后来修复安全模式。进去后以上状况依然存在。
D,E,F盘自动生成AUTORUN.inf和一个5C8B01C0.exe文件。AUTORUN.inf打开后发现在自动运行5C8B01C0.exe。用专门的AUTORUN专杀杀不掉。重起又有了。
把硬盘接别的自己正常电脑上,刚接上就把自己的电脑也传染上了,彻底无语。后来还准备把硬盘数据导出来,可是刚插移动硬盘不到5秒。移动硬盘也中上了。。哎。。
更离奇的是我上网查这样的病毒信息或者打开几大杀毒软件官方网站时,IE都自己关闭。。郁闷。搞的我想砸电脑。。。没见过这样的病毒的。搞的我现在束手无策。杀也不行。全盘格式化都不行(都是公司重要的资料)导也导不出来。。
希望论坛里的高人们给个解决办法。。。非常急。。。人家等着电脑用。。今天我处理了一天还没搞定。做网管的没人理解。。哎。。。
PS:我自己本身也遇到过,很希望高手出面解决! 那就格式化后,重新装系统吧。 没见过这中病毒,建议你先去网上查下是什么病毒,然后找个专杀工具和杀毒软件更到最新的电脑,把硬盘挂上,看看能不能杀下去 别的我就不知道了 楼主中的应该是多种病毒!
请用以下几款试下,那个AUTO病毒专杀可以恢复隐藏文件显示的.其他两款也是不错的.
如果不行的话,建议将中毒的盘挂到正常的机上,然后用深山红叶PE盘或老毛桃PE盘从光盘启动进入PE系统,将重要文件复制到正常的硬盘上,不要通过系统的正常启动进入,否则肯定又要传染病毒了,转移完文件后,再将病毒盘全盘格式化! 非凡论坛找到的
一个坏事做绝的U盘病毒
本帖被 kkllmnmn 执行加亮操作(2007-05-15)
原创非首发 [url]http://hi.baidu.com/newcenturysu[/url] ... 56164443a9ada0.html 转贴请注明
最近发现一个比较猖獗的 U盘病毒 剑盟的jzb770325001也做了分析 不过个人感觉不太全面 昨天从某网友那获得了样本 分析了一下
可以说 能用到的手段都用到了
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式 UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
该dll插入Explorer进程
结束(包括但不限于)以下进程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat
监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目
[[i] 本帖最后由 fei2388 于 2007-5-23 21:13 编辑 [/i]] 最新的病毒,最好重新安装系统
注:要把所有硬盘格式化! 现在U盘病毒很多,只有事先关闭自动运行功能才能较好的预防此类病毒的传播 我觉得应该重装系统啊
页:
[1]