查看文章 |
哈哈 今天讲述“AV终结者”变种病毒ytumvsj.exe 最新最强的“AV终结者”变种病毒073171.exe、wsdfvqi.exe、lsamxxf.exe、ytumvsj.exe 分析清除及解决方案方法进一步整理当中..................! 郁闷................今天我让一些病毒爱好者运行这个病毒都觉得非常郁闷! 一个朋友中了病毒任何杀毒软件都无法使用含<见①> 2007年12月6日发现此病毒木马群不是一般的强悍啊!开始有点晕,终于解决了! wsdfvqi.exe病毒、lsamxxf.exe病毒、ytumvsj.exe病毒变种是"AV终结者之神"。 我对这个病毒评价是:“你想到的“它”早已做到了” 先诉苦吧!郁闷中.......整了一天.。。。。。。。。方法不简单但只能这样了! 本来以为是小事一桩谁知道这个该死的病毒在每个盘符都生成了兄弟啊.原因是把以前做的免疫文件 autorun.inf\auto.exe\explorer.exe\.................全部误删了. 看看我的绝版免疫见相册 注意:请挑选部分文件夹做为免疫文件且最好设置为隐藏只读. ytumvsj.exe刚中招在C盘下在自动播放功能的作用下感染了D/E/F/G/H...... 且刚开始可以看到sdfvqi.exe、lsamxxf.exe、ytumvsj.exe病毒文件位置再运行其它程序出现特殊情况 每打开一个窗口都先最小然后一样最大化而且反应持缓,看看桌面右下角的奇虎360已遇害自动关闭了. 防火墙杀毒软件都被强行自动关闭了无法再打开,也打不开而且电脑运行缓慢. 网速变慢,产生三个新的病毒进程即:  svchost.exe 结束进程后任务管理器就自动关闭,再看进程依存在无法结束............. 现在去看文件夹选项里竟然少了一项<隐藏受保护的操作系统文件(推荐)>这个消失了.郁闷 运行注册表我要查找到ytumvsj.exe病毒文件位置过了三秒自动关闭了注册表,....晕 开始>>>>运行>>>>>Msconfig>>>>>>>启动项里的病毒进程√掉了重启依然存在.........汗 上面的三个病毒文件sdfvqi.exe、lsamxxf.exe、ytumvsj.exe都不翼而飞了,跟我玩失踪.晕 而且打开网页不能搜索ytumvsj.exe及病毒相关的东西点搜索三秒之内自动回主页 本想找QQ群里的专家门聊聊谁知道只是要"病毒\木马\黑客救援等...........\"这类QQ群一点Q就重启! 第一反应删除autorun.inf做免疫文件晚了出现警告提试与现有文件重名.
试一下杀灭工具好不好使打开不到二秒就自动关闭....................郁闷
要是可以把这两个该死的病毒文件autorun.inf wsdfvqi.exe、lsamxxf.exe、ytumvsj.exe杀灭该多好啊!  第二反应快用文件杀灭王PowerRmv.3.0 打开不到三秒就自动关闭,后来试了不下二十种杀毒软件及工具 ----★★★★★∴∴∴*********注意本文原创任何人转载请注明出处*********∴∴∴★★★★★--- 原创:http://hi.baidu.com/xiaodehua 计算机交流QQ群:7916538 黑客密码论坛:http://bbs.mima.hk #注意:请勿擅自篡改作为其它商用,违者必究. 包括以下: 木马清道夫 SRENG 文件杀灭王PowerRmv.3.0 奇虎360 冰刀Icesword.exe NOD32 金山毒霸 瑞星 江民 Autoruns MacAff.exe 超级魔法兔子 kakasetup.............................① 卡巴斯基 偌登 等等等等等................... 个人认为出现这种情况简直就是杀毒软件厂家的耻辱和悲哀. 没办法明刀易躲,暗剑难防啊.AV变种越来越多而且变本加利写这病毒的人够细心 通过本人亲自中招查得此病毒作者位于山东省某IP<网警完全可以抓人了,AV作者早该OVER了>  下载体验此病毒请点击此处............. 点击下载此病毒源文件 下载先解压然后双击:"ytumvsj.exe"  注意运行后果自负 本人提供原文件供大家体验 反正就是没一个能运行滴全休下课自动关闭.......郁闷 病毒名称 Trojan-Downloader.Win32.Losabel.ay 捕获时间<2007-12-6 本人第一个中招且拿出解决方案> C:\DOCUME~1\xiao\LOCALS~1\Temp\073171.exe C:\autorun,inf D:\autorun,inf E:\autorun,inf F:\autorun,inf G:\autorun,inf C:\ytumvsj.exe D:\ytumvsj.exe E:\ytumvsj.exe F:\ytumvsj.exe G:\ytumvsj.exe 在本地磁盘<C\D\E\F\G\H\>可移动设备中生成autorun.inf和ytumvsj.exe文件,隐藏不可见且破坏文件夹选项中的显示方式. 接入网络后会立即执行下载动作打开相关木马网页下载并运行多种病毒和木马。 病毒删除主要的注册表项破坏注册表使其无法正常运行 因为此病毒会强制自动关闭以下进程\ [AutoRun] 删除以下键 添加IFEO映像劫持项目 <<所有杀毒软件工具都无法使用好像都OVER了>><杀毒工具软件的悲哀啊!> 病毒症状 该样本程序是一个使用Delphi语言编写的下载程序,程序采用NsPacK V3.7 加壳企图躲过特征码扫描,长度27,649字节,图标为WINDOWS默认图标,病毒扩展名为exe,主要的传播途径为网页挂马,文件捆绑,移动存储。 该样本程序被激活后将自身复制3份到C:\Program Files\,C:\Program Files\Common Files\System\和C:\Program Files\Common Files\Microsoft Shared\下并重命名为meex.exe, lsamxxf.exe和wsdfvqi.exe后删除自身;通过添加注册表启动项已达到自启动的目的;使用映像劫持技术使得大部分杀软无法正常运行;删除注册表相关键值使用户无法查看隐藏文件;遍历所有盘符,在本地磁盘和可移动设备中生成autorun.inf和ytumvsj.exe文件,达到更大的传播范围。执行下载动作打开相关木马网页下载并运行多种病毒和木马。
Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马,文件捆绑,移动存储 此病毒在每个分区释放一个autorun.inf同ytumvsj.exe文件属性为隐藏 在这期间上网站搜索遇到怪事就是你只要输入ytumvsj\073171.exe、wsdfvqi.exe、lsamxxf.exe 什么都找不到过三秒后直接回来主页面.这个贴计是第一个发出去中吧! 想去偶QQ群:7916538 讨论时更可怕的事双击后QQ就重启,其他QQ群无这种情况......晕倒 难道这就是传说中的强制关闭字符相关进程....ytumvsj.exe病毒设置了要关闭的字符.... 说说详细情况:“中此病毒的主机会出现以下征状 一:每个盘符生成以下病毒文件 1、autorun.inf<注意如果电脑每个盘符做了免疫就没事了> 2、wsdfvqi.exe 3、lsamxxf.exe 其中2←→3合并生成病毒文件ytumvsj.exe,病毒ytumvsj.exe无法显示。 开机启动项里的的病毒进程无法禁用<开机又恢复了>
 如下图:  另C:\DOCUME~1\xiao\LOCALS~1\Temp\073171.exe 产生零时病毒文件073171.exe.  如上图:↑ 任务管理器中只能看到病毒进程wsdfvqi.exe\lsamxxf.exe 此进程列表中的Userinit.exe\conime.exe 为木马进程. ------------------------------------------------------------------------------------------------------------------- “conime.exe"是输入法编辑器,此进程的特殊性,conime.exe是病毒光顾的常客,是否有毒, 关键看它是否不可中止或无规律自动激活, 允许用户使用标准键盘就能输入复杂的字符与符号! conime.exe同时可能是一个bfghost1.0 远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。 清除方法: 第一步首先结速conime.exe进程,然后在system32中找到conime.exe将其删除。
但注册表还是残留它的,建议用注册表编辑器进入注册表编辑器(点开始—运行—输入regedit—回车)
另外在HKEY_CURRENT_USER的相同分支下,也有Run,必须也要看看! ------------------------------------------------------------------------------------------------------------------- -------------------------------------下面为什么?------------------------------------------------- 由于以下原因使方法不得不有所转移 1、几乎任何有效著名杀毒软件工具在中招后此机无法正常运行 2、注册表被破坏无法启用和修复三秒自动退出 3、不想重装系统其它盘符内容非常重要。。。。。。 4、无法进入安全模式进去就蓝屏不信中招的朋友试一下 5、DOS下无法看到此病毒文件试过很多遍未知原因 6、隐藏受保护的操作系统文件(推荐)此项无法恢复<有图> 7、互联网根本没人遇到此病毒我是第一个中大奖正研究解决方法 8、因为现在是自己在分析和解决此病毒而金山病毒分析报告还未出来 前面说了太多的玩笑话。。。。。。原归正传。。。。。。。。 ★★★★★∴∴∴*********注意本文原创任何人转载请注明出处*********∴∴∴★★★★★--- http://hi.baidu.com/xiaodehua 计算机交流QQ群:7916538 黑客密码论坛:http://bbs.mima.hk #注意:此方案保留个人所有权限◎,请勿擅自篡改作为其它商用,违者必究. 解决方案方法是》》》》》》》》》 下载运行:IFEO 重定向修复工具 常用工具软件免费下载点击下面这个地址下载>>>>>>>> http://hi.baidu.com/xiaodehua/blog/item/076761168ac6cb4921a4e9e1.html
修复映像劫持相关键值让杀软正常运行 然后可以用PowerRmv.3.0下载 或者SRENG 冰刀都可以了杀灭如①、②、③ 然后用大众化的杀毒软件扫瞄哈看有没有其他病毒《瑞星江民金山毒霸等又可以威风了》 重启》》OK》》》》》》记得看哈系统启动项里》》》哈哈。。。。。。完 接把主机上的硬盘摘下来挂在另一台电脑 注意:一定要设置好主盘和从盘<不然就双喜临门>两台电脑都中招哦!小心。。。。 记清盘符的标识,千万不要打开中过ytumvsj.exe病毒的硬盘。 现在运行文件杀灭王PowerRmv.3.0直接杀灭以下文件即可: PowerRmv.3.0下载 用工具SRENG 冰刀都可以了 http://hi.baidu.com/xiaodehua/blog/item/076761168ac6cb4921a4e9e1.html 请看下图:①
看下图:②
如图③
073171.exe、conime.exe、wsdfvqi.exe、lsamxxf.exe、ytumvsj.exe尝试杀灭这些文件。 C:\DOCUME~1\xiao\LOCALS~1\Temp\073171.exe C:\autorun,inf D:\autorun,inf E:\autorun,inf F:\autorun,inf G:\autorun,inf C:\ytumvsj.exe D:\ytumvsj.exe E:\ytumvsj.exe F:\ytumvsj.exe G:\ytumvsj.exe 注意包括U盘SD卡内的ytumvsj.exe、autorun,inf 杀灭以上的病毒文件 请查看进程有那些异常进程进行杀灭。 分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成” 搞定后把硬盘放回去设置OK启动! 由于注册表和系统有损坏请用相关的软件修复如: 用SREng修复以下被损坏的文件。
下面是日志报告的提取动画<有牛B病毒可以给我玩玩>
本人见意: 给大家的建议U盘病毒及变种比较流行!希望大家关闭那个该死的auto.exe<自动播放>功能!做好免疫. 一、关闭auto.exe<自动播放>功能的方法: 1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口; 2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”; 3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。 二、建立免疫文件夹.
强烈建议大家在自己的电脑上的 每个硬盘的盘符下含U盘<C\D\E\F\G\H...及C:\WINDOWS\system32..> 新建以下文件夹《图》↑↑↑ auto.exe
--------------------------------------------------------
----★★★★★∴∴∴*********注意本文原创任何人转载请注明出处******∴∴∴★★★★★---
#注意:此贴保留个人所有权限◎,请勿擅自篡改作为其它商用,违者必究. |
