社区 › 『 科 技 迷 汇 社 』 › 杀毒笔记

tandong 发表于 2009-9-24 09:18:58

杀毒笔记

本帖最后由 tandong 于 2009-9-24 09:20 编辑

现象：1.杀毒软件和exe后缀全部被镜像劫持；感染了所有的 .EXE 文件，杀毒软件被关闭.2.安全模式进入也会蓝屏；3.注册表被修改，无法编辑； 3.内存不能为"written"点确定就易死机！4.还中了木马病毒下载器。网上还有说U盘插入会自动生成autorun病毒执行ghost.exe程序！5.我的电脑C盘里出现一个名为“bs3ol8kd2.exe”病毒。tem81.exe病毒感染了所有的 .EXE 文件。
网上查了，有格全盘和删除全部.EXE 文件可解！GHOST也搞不回系统，GHOST.EXE 文件也劫持了，重装也照感染！
bs3ol8kd2.exe病毒病毒名称(中文):AV终结者变种65536病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:13824影响系统:Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是AV终结者的一个变种。它会恢复系统SSDT表，关闭杀软进程或映像劫持杀软的进程。该毒会将自己注入到系统进程中运行，以防止被删除，同时会建立大量的AUTO文件，实现自动传播。
感染型木马下载者 tem81.exe 6to4.dll
被感染的文件会释放tem81.exe 到临时目录并运行.
随后的一系列操作
释放6to4.dll到SYSTEM32目录
释放PCIDUMP.SYS,WMISVC.SYS,,asyncmac.sys到SYSTEM32\DRIVERS目录
释放6to4.dll,systembox.bak到SYSTEM32\DLLCACHE目录
添加服务PCIDump
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIDump
添加服务WmiSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiSvc
添加服务6to4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
其中6to4.dll是一个下载者,又会下载大量的木马.并会添加一些常见安全软件的注册表影响劫持项.防止安全软件运行.并进行局域网攻击传播.会删除Ghost备份文件.释放RAR文件进行感染后重新压缩.感染文件包括EXE,HTML等网页文件.创建盘符根目录下AUTORUN.INF.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
6to4.dll 下载文件多数存放IE临时目录执行后部分文件会自动删除.
C:\Documents and Settings\当前登录用户名\Local Settings\Temporary Internet Files\Content.IE5
部分文件存放在系统盘根目录,临时目录Temp
C:\
C:\Documents and Settings\当前登录用户名\Local Settings\Temp

tandong 发表于 2009-9-24 09:19:09

本帖最后由 tandong 于 2009-9-24 09:26 编辑

纱发，留座！

用巨盾感染文件修复大全http://bbs.ggsafe.com/redirect.php?tid=633&goto=lastpost#lastpost

杀完，系统稳定，不死机，无内存不能为！
再用360顽固木马专杀大全下载地址：http://down.360safe.com/360compkill.zip
查杀其他木马！


1.0.0.1版本能够修复以下几种类型的感染文件(以及交叉感染的情况):


1.Virus.AVkiler_TXPlat()
症状:
执行该类型感染文件,会在drivers目录下生成TXP1atform.exe病毒进程.图标显示为被感染的可执行文件。

2.Virus.Downloader_MMM()
症状:
当该类型感染文件，会在用户机器中C盘根目录下生成mAcAcM.nnc。

3.Virus.Download_Logo1(别名 卡巴:Trojan-GameThief.Win32.Lmir.xe)
症状:
该类型感染文件在被执行时会在WINDOWS目录下面生成Logo1_.exe。

4.Virus.Downloader_6to4()
症状:
被该类病毒感染的可执行文件，在被执行时，会在system32目录下生成6to4.dll,nwsapagent.dll,irmon.dll,iprip.dll等，并创建服务启动.

5.Virus.Infect_Parite(别名 卡巴:Virus.Win32.Parite.A)
症状:
被该类病毒感染的文件在被执行时，会在temp目录下生成随机名的dll,然后其将加载到explorer.exe中继续执行感染。

tandong 发表于 2009-9-24 09:19:17

本帖最后由 tandong 于 2009-9-24 09:55 编辑

留座！留座！
推介个杀毒软件，使用过，不错的！
西方的“微点”ThreatFire体验
ThreatFire的前身是主动防御软件Novatix Cyberhawk，再被PCTOOLS收购后更名为PC Tools ThreatFire。行为判断，不依靠病毒库升级，防御未知病毒木马的“零日威胁”！具有类似程序防火墙的作用，号称西方的微点，能够查出杀毒软件所无法扫描到的恶意程序，保护电脑安全…

　　ThreatFire的前身是主动防御软件Novatix Cyberhawk，再被PCTOOLS收购后更名为PC Tools ThreatFire。分FREE版和收费的PRO版(只是多一个可以忽略的病毒扫描器和少量的高级程序选项)！界面简约，资源占用比微点略小，安装后无需用户进行任何特殊设置，工作原理与微点类似，行为判断，不依靠病毒库升级，防御未知病毒木马的“零日威胁”！具有类似程序防火墙的作用，号称西方的微点，能够查出杀毒软件所无法扫描到的恶意程序，保护电脑安全…下面一起来体验一下吧！
软件简介
http://image.onlinedown.net/2009/huajunpc/01/20090207zy047.jpg(图：1)　　被PCTools收购的Cyberhawk现在以PCTools的商标推出了名为ThreatFire 3.0的恶意程序监控软体,正式结束旧版的名称,迈向3.0.在ThreatFire 3.0 的免费版中,除了可以利用专利的行为监控技术来阻止恶意的病毒、蠕虫、木马、间谍等程序入侵 ,而且还把原本Cyberhawk Pro才提供的Rootkits侦测、自定义规则等功能也都纳入免费版中提供,当然还加上了一些新的特色。
软件信息
http://image.onlinedown.net/2009/huajunpc/01/20090207zy048.jpg(图：2)软件下载
　　ThreatFire官方网站：点此进入
　　华军软件园：点此下载
　　
软件安装
　　运行ThreatFire的安装程序，点击下一步。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy049.jpg(图：3)　　接受用户协议一边进行下一步的安装。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy050.jpg(图：4)　　如果你不想把软件安装在默认的路径的话，可以点击“浏览”将软件安装到指定的地方。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy051.jpg(图：5)　　下面没有什么需要更改的地方了，可以一路“下一步”直至安装完成。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy052.jpg(图：6)　　ThreatFire的驻留图标是一团很酷的火焰，安装结束后第一次运行会提示：发现更新某些驱动程序需系统重启…按照提示重启系统即可。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy053.jpg(图：7)软件界面
http://image.onlinedown.net/2009/huajunpc/01/20090207zy054.jpg(图：8)安全状态
　　在“安全状态”中可以查看ThreatFire是否开启了间谍软件和病毒保护和全球检测、保护统计、系统状态等。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy055.jpg(图：9 间谍软件和病毒保护 )全球检测
　　在ThreatFire的全球检测中你可以了解目前最为盛行的恶意软件和广告软件有哪些。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy056.jpg(图：10 全球检测 )保护统计
　　在保护中你可以查看ThreatFire对系统今天、过去7天、过去30天、过去90天及全部的保护情况统计。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy057.jpg(图：11 保护统计 )系统状态
　　在ThreatFire的系统状态中很贴心地提示你一些需要注意的安全问题，比如：扫描为运行、版本是否为最新等等。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy058.jpg(图：12 系统状态 )开始扫描
　　在ThreatFire的开始扫描中，可以选择不同类型的系统扫描，包括：intelli—scan扫描、完全扫描、自定义扫描等。用户可根据自己的需要定制相应的扫描。一般而言，intelli—scan扫描即可。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy059.jpg(图：13 )威胁控制
　　在威胁控制里面你可以对侦测到的可疑程序进行“允许”、“拒绝”等操作，还可对隔离程序进行管理，查看保护日志等。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy060.jpg(图：14)高级工具
　　在ThreatFire的高级工具中，你可以自定义规则设置；还可以查看系统活动监控。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy061.jpg(图：15)
设置
常规设置
　　在常规设置项中，可以对ThreatFire保护、敏感度级别、默认动作、检查更新、社区保护、程序语言、通知等选项进行设置。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy062.jpg(图：16)隔离设置
　　在隔离设置中，可设置系统还原点，不过，免费版本似乎不可用。不可用也无关紧要，系统还原完全可以用一键ghost来代替。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy063.jpg(图：17)预定扫描
　　在预定扫描可以预定一个自动扫描和对扫描压缩文档进行设置。
http://image.onlinedown.net/2009/huajunpc/01/20090207zy064.jpg(图：18)立即升级
　　则是将免费的ThreatFire升级到收费版，而不是将软件更新到最新。（FREE版和收费的PRO版没多大区别，只是多一个可以忽略的病毒扫描器和少量的高级程序选项)

tandong 发表于 2009-9-24 09:19:21

本帖最后由 tandong 于 2009-9-24 10:09 编辑

留座！留座！
天衣防火墙 3.3：http://www.onlinedown.net/soft/54682.htm
软件大小：387KB 人气指数： 2183 软件语言：简体中文 软件评级： http://www.onlinedown.net/images/down/icon_star.gifhttp://www.onlinedown.net/images/down/icon_star.gifhttp://www.onlinedown.net/images/down/icon_star.gifhttp://www.onlinedown.net/images/down/icon_star.gif 软件类别：国产软件/防火墙类 软件授权：免费版 运行环境：WinNT/2000/XP/2003 更新时间：2007-8-29 10:17:59 联 系 人：znmqhttp://www.onlinedown.net/new/images/@.gif163.com
常在网上漂，哪有不中镖，本软件能为你打造天衣无缝的安全防线。保护你的计算机免于各种流氓软件、插件、间谍软件、蠕虫病毒和特洛伊木马的侵袭，有效拦截内核级驱动的加载、可疑进程的运行、ROOTKIT病毒，防范各类扫描攻击、ARP欺骗造成的频繁出现IP地址冲突、网络断线与时断时续，并可以追捕出攻击者、警告攻击者、迫使其断网等功能。一旦发现可疑程序偷偷入侵，立即报警并加以清除，就算能够进入你的计算机，它们也没有机会执行，因此更没有机会对你的机器造成任何损害。她能使你在上网浏览、搜索资料时得以安然无恙，在下载软件时亦无后顾之忧，也不再有捆绑软件与绿色软件之分，她能将一个捆绑软件在安装时分离成绿色软件，阻止未被授权的捆绑插件安装，并监视所有安装到你系统中的文件，便于你能对其进行任意删除。该软件无需安装、单个文件、体积小、占用内存少，使你的计算机无论是否运行监控均能保持同等速度。

防火墙分为网络防火墙和文件防火墙，天衣是主动防御型文件防火墙。

alexhus 发表于 2009-9-24 10:08:36

本帖最后由 alexhus 于 2009-9-24 20:06 编辑

留座！留座！


可以去DownD专杀咪搞掂咯。。。

tandong 发表于 2009-9-24 10:11:03

留座！留座！

alexhus 发表于 2009-9-24 10:08 http://www.dreamxt.net/bbs/images/common/back.gif无故留座，放血！

kevinchan 发表于 2009-9-24 12:10:08

老虎你个地盘俾病毒侵入啊？搞掂喇？

tandong 发表于 2009-9-24 12:57:32

老虎你个地盘俾病毒侵入啊？搞掂喇？
kevinchan 发表于 2009-9-24 12:10 http://www.dreamxt.net/bbs/images/common/back.gif搞掂几日啦，未重装系统，睇下还能用多久！

kevinchan 发表于 2009-9-24 13:03:32

搞掂几日啦，未重装系统，睇下还能用多久！
tandong 发表于 2009-9-24 12:57 http://www.dreamxt.net/bbs/images/common/back.gif睇嚟係大工程啵！我係你就索性重装埋系统啦，一次过搞掂埋佢

alexhus 发表于 2009-9-24 20:07:29

无故留座，放血！
tandong 发表于 2009-9-24 10:11 http://www.dreamxt.net/bbs/images/common/back.gif
我都未得闲写。。。

huang 发表于 2009-9-24 20:11:21

回想之前全盘格的日子，

tandong 发表于 2009-9-25 00:17:16

我都未得闲写。。。
alexhus 发表于 2009-9-24 20:07 http://www.dreamxt.net/bbs/images/common/back.gif你照抄都抵放血拉！

查看完整版本: 杀毒笔记