Board logo

标题: 这是什么毒?如何解决? [打印本页]
作者: 逆火    时间: 2004-9-25 18:14     标题: 这是什么毒?如何解决?

朋友一台机器,操作系统98,主页被改,虽然在IE选项中能改回,但关闭IE再打开仍是被修改后的网页,此网页没有什么名称与地址(网页内容全是英文),地址栏中显示的是空白页。用3721查出有恶意代码非法启启动项二个查杀后仍然也无法改回主页,再查仍是有非法启动项二个再杀也是白杀。
用瑞星在线查毒,不得了,查出被感染文件达几百个,其实只有两种病毒,一个是PE_FunLove另一个是PE_FunLove.FLc,我发现这两个病毒不管什么样的文件都能感染。
杀毒,就这样两个病毒,瑞星有的能杀掉,可有的却失败,虽然被感染的文件不同,可毕竟是同一种病毒啊,真是郁闷。
更神奇的还在后面,瑞星杀毒完毕后,仍然也改不回主页,以为是有的毒没有杀掉的原因,再查杀一下看看如何,不查不要紧,一查,天啊,你们知道发生了什么事吗?刚才瑞星查出杀掉的病毒根本也没有杀掉一个,被感染的文件还是同上回一模一样,也一样的多,再杀,仍是不能解决问题,主页也没有改回,毒还是那样的多。
请各位大哥研究一下,这是什么毒啊如何解决?
作者: 壁虎    时间: 2004-9-25 20:44     标题: 这是什么毒?如何解决?

    该病毒也能够搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时修补NT环境的完整性检测,以便能够感染系统文件,此病毒最好是在纯DOS环境中清除比较彻底,用紧急启动盘启动机器后再在DOS环境中清除。
你可以先进安全模式进行杀毒,一旦病毒已经感染系统文件就只能进DOS。也就是说需要制作一个应急杀毒盘和一个DOS系统启动盘,用来启动电脑进DOS以后来进行杀毒,这样比较彻底。
需要有软驱,没有软驱的话看你的主板能否支持U盘了,用U盘做杀毒盘,一般能光驱启动的盘就能进DOS,NTFS格式需要NTFSDOS这个软件,U盘如果在DOS下监测不到的话,只能考虑用一些固定的杀毒光盘了,否则结果只有格式化重装。
作者: 逆火    时间: 2004-9-26 00:54     标题: 这是什么毒?如何解决?

感谢虎兄,有你在,黑色海岸线的那道曙光就是你,那是真正的风景线,最美不过你,再次感谢。
莫说兄弟愚啊,其实我是真正不明白,我真的搞不清楚,杀毒的时候,同样的病毒,为什么在这个文件里能杀掉,但在另外某一个文件时瑞星却说无法搞定了?
朋友的机器里面没有任何杀毒的软件,瑞星在线杀又不中用。虎兄,想点法子,能不能在注册表里面搞一搞?或是哪里有这个病毒的专杀工具也行啊?我已经对我朋友吹牛了,说这个问题我包了,哪知道这事真的扎手啊。
虎兄,这是检验你根的深度的时候到了,我相信你,你可一定要挺住啊。
作者: bigblock    时间: 2004-9-26 01:11     标题: 这是什么毒?如何解决?

下面引用由逆火2004/09/26 00:54am 发表的内容:
感谢虎兄,有你在,黑色海岸线的那道曙光就是你,那是真正的风景线,最美不过你,再次感谢。
莫说兄弟愚啊,其实我是真正不明白,我真的搞不清楚,杀毒的时候,同样的病毒,为什么在这个文件里能杀掉,但在另外 ...
这个跟病毒的传播方式还有文件格式有关了.
作者: 壁虎    时间: 2004-9-26 08:52     标题: 这是什么毒?如何解决?

挺住,是的,我现在只所以能挺住,靠的是海岸线全体版主对本版块的支持,非我一人之功。
楼上的意见的确是有些程序不能被删的原因。
一个病毒程序在运行的时候,如果不只有一个运行,也就是说,如果有两个病毒程序共同运行,一旦一个进程被结束,另外一个病毒又会马上运行产生一个新“伙伴”,所以杀也杀不完,而正在运行的程序是不能被删除的。
这时的办法就只有进安全模式,这时只运行基本的系统进程,其他额外进程都不会被执行,但是一旦病毒和系统结合,这时进安全模式也没用了。
此时就只有进DOS,用应急杀毒盘了。对付病毒的办法基本上是有专杀工具就用专杀工具,因为有针对性,更容易起效。
你的这种情况的话,请尽量用专杀工具和应急杀毒盘,空手道光改注册表等,对这种类型的病毒基本解决不了,不然后果很可能是格式化重装。
查了一些资料,希望有用。
名称:新娘病毒
一个通过邮件传播的蠕虫,病毒本身是一个约150K的PE程序,用Visual Basic编写。病毒具有如下特征:
  (1)复制自身到系统目录下,命名为REGEDIT.EXE;复制自身到Windows的桌面目录下,命名为EXPLORER.EXE。
  (2)在注册表项HKCUSoftwareMicrosoftWindowsCurrentVersionRun下添加键值regedit = %WinSystem%regedit.exe,使蠕虫随系统启动自动运行。
  (3)该蠕虫会尝试关闭进程中的一些反病毒软件。
  (4)该蠕虫会搜索所有HTM和DBX文件中的EMAIL地址,并将自己发送给搜索到的信箱地址。
  (5)该蠕虫在传播过程中会创建一些临时文件,包括:Windows桌面目录下,文件名为Help.eml;Windows临时目录下,文件名为Brade0.tmp,Brade1.tmp。
  (6)该蠕虫会释放一个FUNLOVE病毒的变种到系统目录下,命名为MSCONFIG.EXE 。
  (7)当蠕虫内部的计数为特定值时,它会尝试打开以下网站:  
   http://www.hotmail.com
   http://www.sex.com
  (8)该蠕虫邮件具有以下特征:
  .邮件主题为空。
  .邮件的附件名为README.EXE
  .邮件内容会含有如下信息:
   Hello,
   Product Name: < ... >
   Product Id: < ... >
   Product Key: < ... >
   Process List: < ... >
   Thank you.
  其中括号中的内容为被感染机器上对应的系统信息。
  (9)该蠕虫利用IFRAME漏洞传播,这样在没有打补丁的用户机器上,预览即会激活该蠕虫。
金山专杀下载地址
http://www.downreg.com/Download.php?Go=Software::98&OtherLinks=1
作者: 逆火    时间: 2004-9-26 18:33     标题: 这是什么毒?如何解决?

虎兄啊,你真的让兄弟流泪了,你火一样的热情在这个海岸线到处流淌。
在你遥不可及的根处,我分明看到红旗飘飘,基于此,黑色海岸线光明无处不在。
你的缤纷妙计给我条条大路,我收拾一下带着干粮去了。
哦,bigblock?虎兄同他熟吗?别忘了代我谢谢他啊,若是美女可要再三感谢啊。



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2