最近大家注意一下，机器狗，磁盘机，还有AV终结之类的变种...

阿文 · 发表于 2008-5-20 09:51:42

机器狗，磁盘机，还有AV终结者，这几个病毒目前变种很快。

基本的还原软件都可以穿透，包括冰点，还原精灵，还原卡等等，雨过天晴及影子应该也防不了。

不知道无忧一键恢复方面，对于这些防护，目前有没有防得住？哪位有空机子，当小白试一试...

jyg · 发表于 2008-5-20 10:49:35

我用的是瑞星，最近一直没有中毒，谢谢提醒！

lvyanan · 发表于 2008-5-20 11:50:49

只要能实现对磁盘的直接IO就可以突破还原卡的保护，磁盘IO口地址就那么几个，一个一个试也可以试出来，这种病毒只要突破了操作系统的拦截，就可以为所欲为了，这种病毒真可恶！

nianqing · 发表于 2008-5-20 19:04:22

其实也没什么可怕的，象瑞星不是对机器狗和AV终结都有专杀吗。

xuxuezeng · 发表于 2008-5-20 20:41:39

最近我一台IBM的X60机器,中毒了,凡是有关安全之类的软件不能运行,EXE之类的会变成没有图标,任用管理器弹出来一闪而过,卡7.0杀不到,在WINDOWS\SYSGTEM32|目录下产生很多XXXX.EXE文件,但图标是RAR的,360不能运行,超级兔子等不能运行,只要连上网后,会自动调用讯雷,IE等下载木马,如果在服务中停止病毒服务,就会重启,不知是什么病毒?

陶之杳杳 · 发表于 2008-5-20 21:44:37

不中则已.中则麻烦

netwinxp · 发表于 2008-6-29 08:36:54

呵呵，这类型的病毒一般需要借助于往注册表添加设备驱动程序(机器狗通常是pcihdd.sys)，而我们在装好机子后一般很少再改动硬件，所以你可以设置注册表项的权限，去掉System键的完全控制的权限(需要的时候进PE改回来)，只留下读取权限，酱紫它们就无法往系统中加入直接I/O的驱动，也就不会出现这些niao问题。直接写\\.\PHYSICALDRIVE0并不能突破还原卡。
另外，据我所了解很多机器马就是通过冒名杀毒软件来使用户中招，其中最喜欢冒的就是卡巴。这真是个绝妙的讽刺^_^

[ 本帖最后由 netwinxp 于 2008-6-29 08:54 AM 编辑 ]

netwinxp · 发表于 2008-6-29 21:53:53

网吧会让你用U盘吗？呵呵。

123 · 发表于 2008-6-29 22:00:40

已经有几年没中毒了　

阿非 · 发表于 2008-6-30 00:11:45

原帖由 netwinxp 于 2008-6-29 09:53 PM 发表
网吧会让你用U盘吗？呵呵。

现在的网吧让用的。

netwinxp · 发表于 2008-6-30 18:58:03

原帖由 zhxy9804 于 2008-6-30 18:43 发表

我们这边不让用不行，靠近学校，还有，病毒再把权限改过来怎么办？
病毒作者可是技术相当的高超啊

连管理员都没权限修改，你当程序那么容易获得system的权限啊。

sansa520 · 发表于 2008-6-30 19:02:12

原帖由 xuxuezeng 于 2008-5-20 08:41 PM 发表
最近我一台IBM的X60机器,中毒了,凡是有关安全之类的软件不能运行,EXE之类的会变成没有图标,任用管理器弹出来一闪而过,卡7.0杀不到,在WINDOWS\SYSGTEM32|目录下产生很多XXXX.EXE文件,但图标是RAR的,360不能运行, ...

注册表能打开吧？？
不能打开就进安全模式或PE下。把regedit.exe复制出来。或是重命名。
定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，若存在以下项目则删除

cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
。。。
。。。。
。。。
原来就中过，还有好多。不一一列举了。

删除之后别忘了把注册表编辑器改回regedit.exe放回原处
PS：如果发现还有不能运行的正常程序，就可以在这里找找有没有程序文件名，有的话就删除（自己留意所有不能运行程序注册表里的键值）
常见的（映像劫持）此方法都适用。。

[ 本帖最后由 sansa520 于 2008-6-30 07:08 PM 编辑 ]

平 · 发表于 2008-7-1 00:10:10

我前段时间就遇到过了. 不过有专杀可以解决.

kangyi · 发表于 2008-7-1 00:31:57

原帖由 zhxy9804 于 2008-6-29 09:51 PM 发表

难道病毒就不会再给加上权限？
另外，这样子的话。还原如何安装法？u盘能用吗？

有一个setacl.exe，可通过命令行为注册表项添加删除权限（打头的不是HKLM ^^）

setacl "MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /registry /set everyone /read

		自动登录	找回密码
密码			注册

最近大家注意一下，机器狗，磁盘机，还有AV终结之类的变种...

浏览过的版块