打印

“我的电脑”变图片，原是“酷图”病毒搞的鬼

本主题由铁军于 2008-3-18 16:24 加入精华

papa

中将(版主)

积分: 623
威望: 832
元宝: 0
铜钱: 508

1楼大中小发表于 2008-3-12 10:20 只看该作者

“我的电脑”变图片，原是“酷图”病毒搞的鬼

本周一款打系统文件explorer.exe主意的U盘病毒在互联网上流窜，中毒后用户在保存某文件的时候会感觉到明显异常。如图所示：

如能显示隐藏文件的话在系统目录下会看到其堂而皇之地成为了explorer.exe。如图所示：

简单行为分析：
重命名explorer.exe为类似explorer.exe939708948135376（数字为15位随机值），该文件修改为RHS属性。
将修改为RHS属性后的正常explorer.exe备份到%systemroot%\system\explorer.exe，同时删除dllcache目录下的explorer.exe备份文件。
释放病毒文件
%systemroot%\explorer.exe
%systemroot%\system\services.exe
%systemroot%\system\SYSANALYSIS.EXE
在各个盘符释放“酷图.exe”、RHS属性的Mourn_Operator.exe以及autorun.inf、修改文件夹选项隐藏自身。
随机通过病毒的%systemroot%\explorer.exe加载%systemroot%\system\services.exe以及病毒备份的正常%systemroot%\system\explorer.exe
该设计会导致使用三方进程管理工具结束后自动加载windows目录下的病毒explorer.exe并再度调用%systemroot%\system\目录下的正常explorer.exe和病毒services.exe进程。

处理意见：
1.将正常的对应版本操作系统的explorer.exe文件复制到非系统分区下。

explorer.PNG (20.4 KB)

2008-3-12 10:30

2.使用金山清理专家的进程管理器结束病毒的%systemroot%\system\services.exe进程。

结束进程.PNG (39.15 KB)

2008-3-12 10:20

3.点击【开始】-【运行】输入cmd后【确定】，在命令行下结束explorer.exe进程；删除windows目录下（包括子目录）的explorer.exe；复制之前备份的非系统分区下的explorer.exe文件到Windows目录；启动explorer.exe进程。命令行下的操作截图如下：

命令行操作.PNG (16.47 KB)

2008-3-12 10:20

4.解压后导入附件中的reg文件，之后修改文件夹选项如下图所示：

文件夹选项.PNG (17.75 KB)

2008-3-12 10:30

Fix_Folder.rar (1.39 KB)
Fix_Folder.rar (1.39 KB)
下载次数: 999

2008-3-12 10:30

5.右键操作打开【我的电脑】以及各个分区，删除分区下的病毒文件autorun.inf、酷图.exe、Mourn_Operator.exe

搜索更多相关主题的帖子: 酷图我的电脑

Papa_ZONE

TOP

wwww99991100

雨人

上将

积分: 22934
威望: 39828
元宝: 128
铜钱: 1082

新人进步奖圣诞礼盒影音活动奖中秋快乐忽神4

2楼大中小发表于 2008-3-12 11:24 只看该作者

了解了，多谢！

TOP

陇中人

四级士官

积分: 1174
威望: 2394
元宝: 10
铜钱: 386

3楼大中小发表于 2008-3-12 13:53 只看该作者

还是不清楚,能不能,更细化一下?

TOP

蓝色逍遥

蓝色城堡里的寂寞公主

中尉

^↘*蓝Sè┆枫

积分: 3269
威望: 7090
元宝: 5
铜钱: 906

最抽风奖活动参与奖灌水天才奖最拉风人物精华大师奖新人进步奖音乐之花

4楼大中小发表于 2008-3-12 14:07 只看该作者

多谢喽

海豚★我永远的ぃ☆灵魂ぷぁ♀蓝色★我一生的☆い信念

设计爱好者请加我QQ849491370

或设计群：57535240让我们一起学习吧！

TOP

一把锈剑

菜苗助长队

上将(超级版主)

奋青代表队-常任理事

积分: 11152
威望: 19759
元宝: 89
铜钱: 6091

最勤奋版主天才奖吃喝玩乐总指挥毒霸MVP勋章杀软原创技术写手勋章爱毒霸社区技术大师

5楼大中小发表于 2008-3-12 16:23 只看该作者

RHS属性

R 只读属性
H 隐藏属性
S 系统文件

可以通过attrib命令操作这些属性

比如 attrib test.exe -S -R -H就是去除test.exe文件的系统只读隐藏属性

机器狗/AV终结者/磁碟机
AUTO木马群专杀工具
金山清理专家
一把锈剑的一亩三分地
请新会员务必关注 新手入门版块

TOP

黑白徽章

BO

上将(超级版主)

低调

积分: 15323
威望: 32936
元宝: 70
铜钱: 1205

最勤奋版主星光奖音乐之花最佳伯乐勋章辛苦奖清理专家季度伯乐最佳勋章伯乐感恩勋章启动小师傅安全之星勋章启动项智多星进程智多星奥运安全智多星 QQ皮肤达人最佳红客爱毒霸社区技术大师爱毒霸社区技术拉风人物电脑技术指导电脑技术专家奥运小密探周刊评论员 PhotoShop 愛好者動畫設計者網頁設計者我有博客家有寵物

6楼大中小发表于 2008-3-13 13:30 只看该作者

病毒进程，清理专家的进程管理器为什么还显示安全？

博

新手请来这里

电脑百科专区 ★

TOP

铁军

上将(管理员)

积分: 12551
威望: 23138
元宝: 97
铜钱: 2109

7楼大中小发表于 2008-3-13 17:03 只看该作者

KAO，果然发现个BUG.

提问请注意详细描述现象、操作过程，如果是病毒报告，应说明病毒名，染毒文件路径、文件名等，什么现象都不描述只发一个日志的帖子将被直接删除。

请新会员关注新手杀毒入门

TOP

黑白徽章

BO

上将(超级版主)

低调

积分: 15323
威望: 32936
元宝: 70
铜钱: 1205

最勤奋版主星光奖音乐之花最佳伯乐勋章辛苦奖清理专家季度伯乐最佳勋章伯乐感恩勋章启动小师傅安全之星勋章启动项智多星进程智多星奥运安全智多星 QQ皮肤达人最佳红客爱毒霸社区技术大师爱毒霸社区技术拉风人物电脑技术指导电脑技术专家奥运小密探周刊评论员 PhotoShop 愛好者動畫設計者網頁設計者我有博客家有寵物

8楼大中小发表于 2008-3-13 17:06 只看该作者

引用:

原帖由铁军于 2008-3-13 17:03 发表
KAO，果然发现个BUG.

明细

博

新手请来这里

电脑百科专区 ★

TOP

流水11

新兵

积分: 16
威望: 32
元宝: 0
铜钱: 19

9楼大中小发表于 2008-3-13 23:40 只看该作者

可是已经晚了

TOP

btx_1210

列兵

积分: 51
威望: 96
元宝: 0
铜钱: 40

10楼 大中小发表于 2008-3-14 11:08 只看该作者

好东西，收录BLOG中

TOP

mdjandy

新兵

积分: 27
威望: 52
元宝: 0
铜钱: 27

11楼 大中小发表于 2008-3-14 22:07 只看该作者

感谢哦。不错哦

TOP

菲你不可

上将(管理员)

我的龟仙派搁浅了！

积分: 2127
威望: 4231
元宝: 0
铜钱: 1574

星星知我心宣传大使行摄评审奖奥运小密探福牛乐乐

12楼 大中小发表于 2008-3-18 11:28 只看该作者

好东西,推广之

。。。。爱。。。。爱。。。。。。。。。爱。。。。爱
。。。爱。。。。。。。爱。。。。。爱。。。。。。。爱
。。爱。。。。。。。。。爱。。。爱。。。。。。。。。爱
。爱。。。。。。。。。。。、爱、。。。。。。。。。。。爱
。。爱。。。。。。。。。有爱就有希望。。。。。。。。爱
。。。爱。。。。。。。。爱无限大。。。。。。。。。。爱
。。。。爱。。。。。。。。。。。。。。。。爱
。。。。。。爱。。。。。。。。。。。。。。爱
。。。。。。。。爱。。。。。。。。爱
。。。。。。。。。。。。爱。。。爱
。。。。。。。。。。。。。。爱

TOP

annygi

Annygi

荣誉版主

http://kokoboy.ys168.com

积分: 7619
威望: 14927
元宝: 10
铜钱: 3047

最勤奋版主优秀版主勋章终身成就奖幕后英雄勋章安全精英毒霸MVP勋章技术达人病毒解剖师安全新秀清理专家电脑清理高手影音大使安全大师系统维护专家插件大侠进程新星系统狂人启动小师傅杀软原创技术写手勋章杀软技术新人勋章安全之星勋章最佳红客爱毒霸社区技术大师爱毒霸社区技术拉风人物电脑技术指导电脑技术专家周刊评论员