铁军 2008-7-7 23:01
使用清理专家修复假冒的“在线修复kaspersky”
[align=center][color=Red][size=5]使用清理专家清除假冒的“在线修复kaspersky”[/size][/color]
[/align]
周末见识了一个超BT的木马下载器,这个下载器修改的程序启动加载项达数10个之多,从这个帖子的日志显示,加载项甚至达到上百个之多
请参考:[url=http://bbs.duba.net/thread-21946982-1-1.html]http://bbs.duba.net/thread-21946982-1-1.html[/url]
在得到这个病毒的样本之后,我们发现这个病毒每重启一次系统就会在系统中添加若干个启动加载项和服务加载项,当用户觉得系统异常,重启电脑之后,会导致病毒添加的项越来越多,系统会变得非常缓慢,并且会频繁弹出网页广告。
病毒每次重启,生成的程序文件名都是随机的,这样就导致某些采用文件名识别恶意软件的工具毫无用处。这些木马文件有明显共同点,很容易识别。
这是其中某一个文件的属性特征,隐藏、系统属性,图标都是IE浏览器,文件的大小都是60KB,
[attach]16176495[/attach]
这是在windows目录下发现的一批下载器,都是隐藏、系统属性,图标和IE浏览器一样,文件的大小都是60KB,需要修改文件夹选项才可以查看。
[attach]16176496[/attach]
运行金山清理专家,百宝箱中的进程管理器,可以看到很多个随机文件名的exe文件
[attach]16176497[/attach]
一个个手动定位文件位置是很费力的,我们可以充分使用windows的搜索功能,注意修改搜索选项。
我们搜索windows 目录下大小为60KB,创建时间和我们观察的其中一样相同日期EXE文件,就可以把这一类木马下载器找到。
[attach]16176498[/attach]
然后在搜索结果的窗口中按ctrl+A全部选中这些EXE,然后再打开清理专家百宝箱中的文件粉碎器,将这些EXE全部拖放到文件粉碎器的窗口(如果窗口相互覆盖,只需要将搜索结果的窗口取消最大化,调整大小,使桌面上能同时显示两个窗口,再完成文件拖放。)
[attach]16176499[/attach]
将这些EXE全部彻底删除,先不忙着立即重启系统,再使用全面诊断,启动项管理,检查会发现很多残留的加载项,依次选中这些加载项,再点右键,在弹出的菜单中选择修复。
[attach]16176500[/attach]
同样的方法,切换到全面诊断,将残留项全部选中,再单击下面的“修复选中项”
[attach]16176501[/attach]
接下来切换到百宝箱中的系统修复,发现安全模式已经被病毒破坏,我们只需要选择修复就可以。
[attach]16176502[/attach]
最后,我们重启电脑,再把上述检查重复一遍,你会发现病毒的所有修改都被修复完成。
但毒霸还是不能启动,这是病毒删除了毒霸的启动加载项。
我们只需要执行一个简单的修复动作就可以让毒霸完全恢复正常。
单击开始,运行,输入cmd,打开命令行窗口。
依次键入cd pro ,按tab键,进入program file文件夹。依次键入king 按tab键,再键入k,按tab键,进入毒霸的安装路径“Kingsoft Internet Security 2008”文件夹,执行setupwiz -i,启动毒霸修复程序,程序会尝试修复所有组件的重新注册。
再运行毒霸安装目录下的uplive.exe,将毒霸升级到最新版本,对windows目录进行检查。其实查不查都不要紧了,我的经验是实时监控不拦截,可以不必去查毒。
cchao21 2008-7-7 23:13
很实用的文章,谢谢铁军。
vistalong 2008-7-8 00:26
谢谢提供 非常实用的一种做法 仅破坏安全模式吗 我看你后面在修复毒霸
铁军 2008-7-8 09:26
只检查到这一行被修改,毒霸的服务被这个病毒破坏了。
mouse_0232 2008-7-8 09:45
我来学习的 我又学会一招了{yxh145}
okhqyes 2008-7-8 12:44
汗一个……
小飞侠.net 2008-7-8 14:53
随机文件名真多
nowan 2008-7-8 16:39
有没有样本啊
ksdc0274119 2008-7-10 10:38
这也有假???!!!
蓝色代码 2008-7-10 17:34
最近还没有遇到过,但是分析的非常不错,学习一下!
Z853805592 2008-7-10 18:02
为什么安全中心的图标是灰色的?
电脑中毒 我把毒杀完后 发现我的金山清理专家+QQ医生=一系列安全中系统都无法启动 这是为什么 我用金山 查都没毒 图标还是灰色 清理专家还是.不起来 谁可以帮我下?
ksdb15201928 2008-7-10 22:15
关天清理专家的问题
我想请问一下`~
清理专家里面的一个文件iebuddy.dll发生错误~而且每次关网站都会发生错误`~~~
我在网上查了一下好像要重装~~~~~~~~~~
现在我把网页防挂马都关了,情况还好些
哪个大哥大姐有更好的办法没得啊啊啊~~谢谢了哈{chinaz12}
hyq200413 2008-7-10 22:33
我中咯!~``病毒搞得我麻烦死了``~现在世界都干净啦!
全部都清理掉,启动项修复干嘛?留它是个祸害!
hqy419 2008-7-11 08:53
学习学习,现在病毒真的很恐怖!
ksdb15526156 2008-7-11 10:34
学习,认真学习
skyyan 2008-7-11 15:32
厉害!
NGC2008 2008-7-11 22:49
很实用的文章。{yxh58}
ming880818 2008-7-12 17:01
很好!又学一招啦!谢谢!{chinaz15}
wssui8 2008-7-12 19:13
支持!{chinaz8}
qjk330 2008-7-12 20:57
多谢提醒
qjk330 2008-7-12 20:58
这样能行吗?
永不言败 2008-7-13 13:06
好复杂感觉。还是要不断学习。
zll714 2008-7-13 17:08
不错不错 支持
a5221516 2008-7-13 22:31
..........
为什么教人的文章都这么复杂{chinaz3}
584521 2008-7-14 07:58
有道理 不错
KSDA18049651 2008-7-16 16:46
复制,粘贴
随风飞翔 2008-7-16 20:17
哎呀!看完原来打那篇求助帖,感觉冷了不少!的确是很变态!不过!VISTA不能用文件粉碎!!!!!!!!!!!!!!!!!!!!!
cherry_cindy 2008-7-16 21:15
前一阵子就中了~~但是也已经搞掂了,就是用最笨的方法,一个一个删~~
cf18760488 2008-7-16 21:57
以前用的是瑞星,有些毒杀不了
前几天,有个叫我叫我下个毒霸试试,想不到查出N多问题,其中就有楼主提到的安全模式被损坏一项,搞了几个小时,总算搞定了
xuzhyong83 2008-7-17 06:42
我用修复怎么修复不了
s06-058(923091)
发布时间:2006-10-10
安装要求:独立安装
补丁大小:2.80MB
漏洞说明microsoft powerpoint 中的漏洞可能允许远程执行代码(..........
我点修补选中的项这后,就会出现,是安装更新还是不更新,这个能不能更新
xuzhyong83 2008-7-17 06:44
请大家一定要近快帮我哦,
我是个新手很多是咋回事都不懂哦
13214904478 2008-7-17 07:44
谢谢哦!我昨天就中了,假金山提醒我发现重大系统漏洞,结果是让我安装realplayer播放器,郁闷死我了!!
z2521101 2008-7-20 10:08
支持
{chinaz1} {chinaz3} {chinaz11} {chinaz8} {chinaz12} {chinaz15} {chinaz7} {chinaz5} {chinaz4} {chinaz13} {chinaz9} {chinaz6} {chinaz2} {chinaz14} {chinaz10} 支持
zhd1994 2008-7-20 19:12
我的电脑有这些文件吗?
[qq]243816034[/qq]
我的电脑里有这些文件吗?
截图在附件里
zhd1994 2008-7-20 19:16
接上楼
还有两张截图
NGC2008 2008-7-22 20:13
很实用。{yct27}
hqq9421 2008-7-23 17:59
实用经验啊。。。。。
实用经验。。
谢谢
烽火之旅 2008-7-23 19:28
努力学习 啊
ksdc0274119 2008-7-27 16:06
真汗~~~ 这也行~~~
