我看你还得瑟？随机8位数Bing Du新变种Worm.Agent.wk的分析与查杀

查看文章

2007-06-08 20:45

作者：清新阳光 ( http://hi.baidu.com/newcenturysun)
日期：2007/06/08 (转载请保留此申明)

刚刚发表了一个随机8位数Bing Du新变种Worm.Pabug.db的分析与查杀http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html 马上孤独更可靠告诉我他的一个变种会关闭winrar 测试了一下
这个变种比我那个更新一些而且手段更恶劣
由于下载的木马相同所以只写出这个变种的主程序的分析与查杀部分
病毒主要特征
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.修改自动更新，Windows安全中心，Windows防火墙以及常见杀毒软件的服务的启动值
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持
8.向瑞星注册表监控发送允许的指令

File: 0A47CAC2.exe
Size: 33363 bytes
MD5: A785A2729BFBB5AF9BA644D578B8EECC
SHA1: E67B2189F46F3EED4C33355C3447FCD744C70156
CRC32: AA8896E7

病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文
件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件
在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件
把C:\WINDOWS\system32\verclsid.exe重命名为verclsid.exe.bak然后删除C:\WINDOWS\system32\verclsid.exe

监视并关闭以下进程以及窗口
AntiVirus
Trojan
Firewall
Kaspersky
JiangMin
KV200
kxp
Rising
RAV
RFW
KAV200
KAV6
McAfe
Network Associates
TrustPort
Norton
Symantec
SYMANT~1
Norton SystemWorks
ESET
Grisoft
F-Pro
Alwil Software
ALWILS~1
F-Secure
ArcaBit
Softwin
ClamWin
DrWe
Fortine
anda Software
Vba3
Trend Micro
QUICKH~1
TRENDM~1
Quick Heal
eSaf
ewido
Prevx1
ersavg
Ikarus
Sopho
Sunbelt
PC-cilli
ZoneAlar
Agnitum
WinAntiVirus
AhnLab
Norma
surfsecret
Bullguard
BlackICE
Armor2net
360safe
SkyNet
k2007
Antiy Labs
LinDirMicro Lab
Filseclab
ast
System Safety Monitor
ProcessGuard
FengYun
Lavasoft
Defendio
kis6
Behead
sreng
IceSword
HijackThis
killbox
procexp
Magicset
EQSysSecure
ProSecurity
Yahoo!
Google
baidu
P4P
Sogou PXP
yaskp.sys
BDGuard.sys
超级兔子
木马
KSysFilt.sys
KSysCall.sys
AVK
K7
Zondex
blcorp
Tiny Firewall Pro
Jetico
HAURI
CA
kmx
PCClear_Plus
Novatix
Ashampoo
WinPatrol
Spy Cleaner Gold
CounterSpy
EagleEyeOS
Webroot
BufferZone
avp
AgentSvr
CCenter
Rav
RavMonD
RavStub
RavTask
rfwcfg
rfwsrv
RsAgent
Rsaupd
runiep
SmartUp
FileDsty
RegClean
360tray
360Safe
360rpt
kabaload
safelive
Ras
KASMain
KASTask
KAV32
KAVDX
KAVStart
KISLnchr
KMailMon
KMFilter
KPFW32
KPFW32X
KPFWSvc
KWatch9x
KWatch
KWatchX
TrojanDetector
UpLive.EXE
KVSrvXP
KvDetect
KRegEx
kvol
kvolself
kvupload
kvwsc
UIHost
IceSword
iparmo
mmsk
adam
MagicSet
PFWLiveUpdate
SREng
WoptiClean
scan32
shcfg32
mcconsol
HijackThis
mmqcj
Trojanwall
FTCleanerShell
loaddll.
rfwProxy
KsLoader
KvfwMcl
autoruns.
AppSvc32
ccSvcHst
isPwdSvc
symlcsvc
nod32kui
avgrssvc
RfwMain
KAVPFW
Iparmor
nod32krn
PFW
RavMon
KAVSetup
NAVSetup
SysSafe
QHSET
xsweep.
AvMonitor
UmxCfg
UmxFwHlp
UmxPol
UmxAgent
UmxAttachment
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KVScan
KVStub
KvXP
KVMonXP
KVCenter
TrojDie
avp.com
krepair.COM
KaScrScn.SCR
Trojan
Virus
kaspersky
jiangmin
rising
ikaka
duba
kingsoft
360safe
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山
社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
微点
MSInfo
WinRAR
KvNative
bsmain
aswBoot

注意最后几个
微点
MSInfo
WinRAR
KvNative
bsmain
aswBoot
是病毒新变化的部分
可恨就可恨在它把带有MSInfo的窗口也列入了监控的范围
测试中winrar有时可以打开但一用winrar找C:\Program Files\Common Files\Microsoft Shared\MSInfo下面的那

两个文件时马上由于窗口带有MSInfo而被关闭
而且Icesword 开启后也会被强制最小化

注册表相关操作
删除
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值
为0x00000000
HKU\S-1-5-21-1085031214-1078145449-839522115-500
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002
HKU\S-1-5-21-1085031214-1078145449-839522115-500
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001
屏蔽显示隐藏文件

修改

HKLM\SYSTEM\ControlSet001\Services\HookUrl\Start为0x00000004
HKLM\SYSTEM\ControlSet001\Services\mProcRs\Start为0x00000004
HKLM\SYSTEM\ControlSet001\Services\RfwProxySrv\Start为0x00000004
HKLM\SYSTEM\ControlSet001\Services\RfwService\StartHKLM\SYSTEM\ControlSet001\Services\HookUrl\Start为

0x00000004
HKLM\SYSTEM\ControlSet001\Services\RsFwDrv\Start为0x00000004
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Start为0x00000004
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch为0x0000008B
HKLM\SYSTEM\ControlSet001\Services\wscsvc\Start为0x00000004
HKLM\SYSTEM\ControlSet001\Services\wuauserv\Start为0x00000004
HKLM\SYSTEM\ControlSet002\Services\HookUrl\Start为0x00000004
HKLM\SYSTEM\ControlSet002\Services\mProcRs\Start为0x00000004
HKLM\SYSTEM\ControlSet002\Services\RfwProxySrv\Start为0x00000004
HKLM\SYSTEM\ControlSet002\Services\RsFwDrv\Start为 0x00000004
HKLM\SYSTEM\ControlSet002\Services\PFW\Start为 0x00000004
HKLM\SYSTEM\ControlSet002\Services\avgwlntf\Start为 0x00000004
破坏常见杀毒软件防火墙以及windows安全中心 windows防火墙 windows自动更新

添加IFEO映像劫持项
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe
指向C:\Program Files\Common Files\Microsoft Shared\MSInfo\下的那个dat文件

其他木马下载行为同上篇分析http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html

解决方法：
上个方法中用winrar重命名的方法对于这个已经失效
不过我们只需在这之前再作一些工作就可以了
1.首先我们先下载Process Explorer这个软件
地址
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html
下载下来的是压缩包直接使用右键解压到XX文件夹
尽量不要双击打开
2.然后重命名procexp.exe 运行之
双击Explorer进程
单击 Threads
找类似8位随机字母和数字组合成的dll 应该有很多个，记住名字
3.分别选中Threads中的各个dll 单击下面的suspend
直到选中每个dll时原先那个suspend都变成了resume
不要关闭process explorer
4.接下来可以打开winrar利用我们的重命名大法了
打开WinRAR 工具查看文件
在上面的地址栏中进入c:\program files\common files\microsoft shared\msinfo目录
在winrar中右键点击随机8位数字的那个dll和那个dat文件重命名
5.重启计算机
6.恢复映像劫持
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了所以我们随便把他改个名字
打开这个软件后找到Image hijack (映像劫持）
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft
Corporation c:\windows\system32\ntsd.exe
以外的所有项目
7.此时我们就可以打开sreng了
打开sreng
系统修复高级修复点击修复安全模式在弹出的对话框中点击是
8.恢复显示隐藏文件

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入
9.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文

件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除c:\program files\common files\microsoft shared\msinfo下面你刚刚重命名的那两个文件(一个dll一个dat)
10.删除各个分区下面的autorun.inf和8位随机数的exe
注意：一定不要双击也不能右键打开（因为那个autorun.inf编辑的比较巧妙，所以右键菜单无原先的auto等字样）所以一定用winrar删除

木马部分由于和上篇分析相同，请参考上篇分析http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html

类别：病毒防范与杀除 | 添加到搜藏 | 浏览() | 评论 (51)

最近读者：

网友评论：

2007-06-08 21:58 | 回复

很好，下一步Process Explorer估计也得挂了。

2007-06-08 23:23 | 回复

花指令说的是，你介绍哪个估计哪个就得挂。。。呵呵

2007-06-09 01:34 | 回复

以后病毒直接在线更新

2007-06-09 09:40 | 回复

你的上面这个方法好像也不行拉刚下下来Process Explorer得时候的时候修改DLL非常快第2次就慢下拉到最后全部该改为resume的时候就卡的走不动拉只有重启

2007-06-09 09:42 | 回复

等待楼主新的结决方案

2007-06-09 11:43 | 回复

你的那个样本如果可能发给我

2007-06-09 11:58 | 回复

见过的最恶心的病毒.

2007-06-09 17:36 | 回复

做病毒的太监了

2007-06-10 10:38 | 回复

你的上面这个方法好像也不行拉刚下下来Process Explorer得时候的时候修改DLL非常快第2次就慢下拉到最后全部该改为resume的时候就卡的走不动拉只有重启同意我的也是

2007-06-10 11:31 | 回复

我的机器也中了这样的病毒，现在无路可走了，病毒真是太厉害了，只能期待更完善的解决办法了。

2007-06-10 12:20 | 回复

我滴神啊~~这下怎么办才好- -网都不敢上了用别人的电脑看的...

2007-06-10 18:07 | 回复

遇到同样问题，急待解决，楼主幸甚啦！

2007-06-10 18:49 | 回复

楼主，，，我用你的第一个方法试了，可是很多软件都运行不了，怎么办，重装系统有用不？

2007-06-10 20:02 | 回复

麻烦死了啊..直接用文件删除软件把病毒文件喀嚓了.启动项目关了.清掉全部IFEO不就没事了.然后SRENG点一下修复注册表相关的不就可以了

2007-06-11 12:56 | 回复

妈妈的，谁造的病毒，真不是个东西，贱！我从周五到现在一直在搞这个电脑。开始重装了两遍系统都不行，后来一咬牙把硬盘全格了，再重装系统，好不容易好了，然后一插U盘，又挂了…… 再格，再装。希望楼主这个方法还好用。造病毒的孙子，拜托你有精神去折磨日本人吧，你浪费了我们多少劳动力，耽误了GDP的增长啊！我一个报告本来应该周五交，到现在连电脑都没有搞好……直接耽误了我这周的工作！~

2007-06-11 14:24 | 回复

现在的U盘病毒越来越厉害了

2007-06-11 16:01 | 回复

感谢楼主，用你的前两个法儿没好使，这次总算行啦，幸运的是病毒好像没再升级

2007-06-11 16:36 | 回复

感谢楼主,我按照你的方法,现在我的电脑杀毒软件能用了,但是现在杀毒软件不能升级,而且每次杀完毒重启病毒还在,晕吧,而且现在安全模式还不能进去,怎么办,楼主请帮忙啊

2007-06-11 19:50 | 回复

楼主忒强！感谢！顺便问候一下制造此病毒以及传播者的全家女性！！！

2007-06-13 01:12 | 回复

你的上面这个方法好像也不行拉刚下下来Process Explorer得时候的时候修改DLL非常快第2次就慢下拉到最后全部该改为resume的时候就卡的走不动拉只有重启

2007-06-13 08:19 | 回复

直接kill掉线程行么如果不行把各个分区下面那个8位数的exe发到我邮箱newcenturymoon1986@yahoo.com.cn

2007-06-13 09:11 | 回复

造病毒的是狗生的~

2007-06-13 11:45 | 回复

还是不行啊,我的电脑刚下下来Process Explorer修改完就不能运行winrar了啊,而且下面的任务栏也被锁定了啊怎么办啊高手门啊 9999999999999

2007-06-14 10:04 | 回复

我也中了这狗屁的病毒。竟然是我同学从我们学校的打印店带回来的..不知道我们学校有多少人中了这毒了..555~~ 马上就毕业了..论文都存在机器里.拿不出来..拿到哪儿哪儿就中毒。.怎么办啊 ?个位大虾指点指点啊....愁死了

2007-06-14 10:10 | 回复

马上就要毕业答辩了...大虾们,老弟眼巴巴的指望着你们了!!

2007-06-14 20:12 | 回复

你好啊～　　你介绍的东西很好　　可是我是新手　　　　能不能说的更详细一点~　　　　　　我不知道自己中的是不是最新的病毒　　　怎么办啊～～和我联系吧～　　　求求你了啊　　　　　我的邮箱地址是hqh331477176@163.com QQ 331477176　　谢谢你了啊

2007-06-15 01:19 | 回复

我按照你的各种办法都找不到那个所谓的8个字母数字。。不知道怎么回事，但是症状和你说的一样啊。。。只是看的见jbtmfqq.exe和一个ytbikec.exe 这2 个文件一直在运行。。请问下着个要怎么弄。谢谢

2007-06-15 15:13 | 回复

我也照着你的说的做　怎么还是不行啊　好多步骤进行不下去我也是要毕业的人好多资料在里面啊等着大虾救命啊

2007-06-15 15:19 | 回复

在用ＷＩＮＲＡＲ的时候　显示不出来ＤＬＬ的文件这是为什么啊

2007-06-18 09:29 | 回复

麻烦希望病毒制造传播者全家99代女性光着身子叉开大腿都没人愿意光顾.我的中了jbtmfqq.exe和ytbikec.exe 和搂主说的很相似.

2007-06-20 22:02 | 回复

我中的跟你说的差不多但是就是找不到那个.DLL文件怎么办

2007-06-23 11:59 | 回复

U盘病毒专杀工具-USBCLeaner可以干掉帕虫，下载地址：http://www.usbcleaner.cn/download.htm，用最新版

2007-06-24 02:08 | 回复

这个病毒是“A V终结者”，也叫帕虫(Worm.Pabug)或随机8位数.这个病毒的破坏性很大，这个病毒是通过IE漏洞而进行传播的，这个病毒现在还没控制住， “A V终结者”中毒后5步解决方案- http://hi.baidu.com/uuij/blog/item/83f230b385d749a5d8335afc.html

2007-06-27 21:15 | 回复

完了我中了~~走头无路了

2007-06-28 10:36 | 回复

楼住``请帮帮忙吧``我们是搞设计的~电脑里的东西全都有用`如果全格了那就完了~~尽快的想想办法吧``快疯了~~ 如果大家有办法请帮帮忙啊

2007-06-28 16:02 | 回复

楼主,偶中招了之后,用你的方法试过了,第一次用sreng修复安全模式时,上面显示是可以的,但后来由于注册表导不进去,重新之后,SRENG就一直修复安全模式无效,楼主用的是什么系统啊,为什么我导这个注册表会导不进去的呢??

2007-06-29 12:23 | 回复

解决不了啊.楼主,你说的网页根本打不开的

2007-07-01 08:59 | 回复

到底该怎么办啊现在网页一打跟杀度的就自动关闭我刚重装了电脑杀毒软件还没装就中毒了帮帮我啊好心人QQ249435530

2007-07-04 15:09 | 回复

autoruns已经不能打开了 ,大哥,你再好事做到底,再想想办法,救救我们吧

2007-07-06 11:17 | 回复

procexp.exe 打不开啊

2007-07-08 15:21 | 回复

谢谢了,忙了一小时,总算杀掉了!

2007-07-09 08:09 | 回复

我得也是阿procexp.exe打不开啊！有没有别的办法啊？谢谢楼主！

2007-07-16 12:54 | 回复

你好! 我的机子现在连PROCESS EXPLORER也被屏蔽掉了,你上面的方法没有办法用.请教教我该怎么做? 十分感谢!!! 请将解决办法发至我的邮箱,再次感谢

2007-07-22 16:33 | 回复

直接把那个上一级的文件夹给删掉剪切掉

2007-07-26 11:07 | 回复

http://hi.baidu.com/uuij/blog/item/83f230b385d749a5d8335afc.html,这个很清楚，我就是按照这个解决的。庆贺中。。。

2007-07-28 12:58 | 回复

按上边大哥的方法,估计能杀掉的话,自己都成电脑高手了，实在太麻烦,而且不专业的操作不好就不行.我个人推荐个简单无敌方法,就是将电脑所有硬盘格式化,最后在重新做个系统，这样简单容易操作,弊端就是要忍痛把自己的最爱电影，有用文件要格掉，呵呵，可是这个也是没办法的,舍不得孩子套不到狼!!哈哈，无敌吧,大家都试试,至少现在我的电脑没病毒了!!!

2007-08-07 11:40 | 回复

按你说的那个方法，现在连WINRAR这个软件都打不开，还有你说的那个PROCESS EXPLORER也打不开呀，我现在都快急死了，中毒的那台是我们公司品质部里的电脑，里面有好多的检测报告，现在都打不开，等待您的解决方法。

2007-08-07 22:12 | 回复

。。。哎试过了可是当你在WINRAR中改了名字后它又会自动再生成2个随即数。。。而且总是出EXPLORER.exe应用程序出错。。。（中毒原因下了个软件双击后就中了）软件是都能用的。。大哥帮帮小弟弟~留了邮箱

2007-08-10 09:27 | 回复

我哭了~~~~~

2007-09-21 11:59 | 回复

你的文章真是太好了. 楼主的学问不是一般的高啊

[首页] 1 [2] [下一页]

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复