设为首页收藏本站
切换到窄版

 找回密码
 注册
快捷导航
专门网»论坛 其他版块 系统与软件区 【原创】一个KIS7没有查出的病毒的手工清除方法,暂叫' ...
返回列表 发新帖
查看: 3070|回复: 24

【原创】一个KIS7没有查出的病毒的手工清除方法,暂叫'池病毒'吧

[复制链接] |自动提醒
阅读字号:
Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
发表于 2007-9-8 22:24:23| 字数 335| - 中国–广东–深圳 电信 | 显示全部楼层 |阅读模式
病毒层出不穷,有时也是自己疏忽,再就是,有些所谓的病毒,并没有太多破坏性的力量,只能称为恶作剧病毒

今天忘了调试什么软件时,降低了KIS7 的安全级别,主动防御也取消了注册表监控,后来感觉系统有些变慢的迹象,重启也无果,所以就准备启用任务管理器查看

一下,呵呵,问题来了,任务管理器一闪而过,我感觉不好,再启用注册表编辑器,也是同样现象,果然中招了

好在一般的病毒也会和作者一样,有弱智的时候,下面就开始和它玩玩了。。。

首先:把系统的注册表编辑器改名 ,由regedit.exe改成rege.exe ,名字随便,然后再次启动rege.exe , 哈哈,能启动了,当然是先奔 run 而去,果然,多了个家伙在那里,我是不可能增加这个东西的

[ 本帖最后由 Hans 于 2007-9-8 23:08 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:28:09| 字数 154| - 中国–广东–深圳 电信 | 显示全部楼层
呵呵,看到了吧,那个 伪装成 Microsoft Value Service的,就是病毒体,病毒文件名是spool.exe ,spool ,一般是打印机池之类的服务,它这样改自己的名字,显然是为了迷惑大家

搜索之,找到了,就在windows\system32目录,文件居然有1.5M之巨,靠,编程水平是不是需要提高啊,哈哈

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:29:58| 字数 92| - 中国–广东–深圳 电信 | 显示全部楼层
要取消病毒,首先需要删除启动部份,目前是只在run 里有,我们可以试试删除此注册表项,为了测试其是否起作用,我将kis7 主动防御的注册表监控打开了,删除以后,一会儿就弹出了这个提示,呵呵

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:33:00| 字数 134| - 中国–广东–深圳 电信 | 显示全部楼层
所以,我们现在首先要删除内存中运行的病毒进程,然后再删除注册表项

别忘了,病毒已经控制了任务管理器,我们只能用其他方法,这里有Longhorn的任务管理器,可像其他程序一样直接运行,所以,就用它来删除病毒进程

附件是压缩包,可解压到任何一个目录运行,最好不要覆盖系统的文件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:35:20| 字数 46| - 中国–广东–深圳 电信 | 显示全部楼层
Longhorn 版本的任务管理器界面

启动longhorn的任务管理器,找到spool ,停止它

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:38:13| 字数 116| - 中国–广东–深圳 电信 | 显示全部楼层
再次启动rege.exe (改名后的注册表管理器),找到run 项目,删除spool

到系统目录 system32 ,删除spool.exe

我是将文件拷贝到了其他目录,再次使用kis 7查杀,还是报告无病毒和恶意程序,真是有些失望了 ... ...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:44:12| 字数 262| - 中国–广东–深圳 电信 | 显示全部楼层
最后总计一下:
这个所谓的spool ,我们赞称它为 池病毒 ,除了影响系统速度,禁止你启动注册表管理器和任务管理器外,还未发现其他破坏迹象,或者是未到时候,但是还有带有病毒的一些特征,至少是影响我的使用了,好在,这个所谓的病毒写手,水平有些洼,对系统的改动不多,手工删除还是没费什么事儿

注意事项:
防病毒,时刻不能松懈,在不影响系统速度的情况下,尽可能的打开实时文件监控和注册表监控,遇到可疑程序,酌情禁止其运行,可能装了杀毒软件速度会慢些,但是总比你被病毒啃了,再重装系统来的快吧,其中取舍,自己感受,呵呵

好了,手工杀毒结束。。。
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

toplast

1729

回帖

1

积分

2951

资产值

禁止发言

注册时间
2003-8-25
铜牌荣誉勋章(注册8年以上会员)
发表于 2007-9-8 22:47:26| 字数 66| - 中国–福建–福州 电信 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 22:51:44| 字数 102| - 中国–广东–深圳 电信 | 显示全部楼层
注意:此贴附件是我提到的病毒体,请勿随意使用,可能会对你的系统造成伤害,仅提供给计算机水平较高的用户测试你的系统的防毒效果
附这个文件的DLL依赖和导入导出函数,除了创建文件这个比较明显的,倒是未发现其他的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-8 23:11:45| 字数 131| - 中国–广东–深圳 电信 | 显示全部楼层
QUOTE:
原帖由 toplast 于 2007-9-8 22:47 发表
xp 系统么?也可以在cmd下用tasklist列出进程,然后根据进程的pid(例如1234),用ntsd -c q -p 1234 来杀灭进程


用任务管理器适合多数人,至少是能直接看到文件所处位置,便于手工删除
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

omg

937

回帖

0

积分

366

资产值

入门会员 Rank: 1

注册时间
2006-7-25
发表于 2007-9-9 01:35:36| 字数 30| - 中国–广东–深圳 电信 | 显示全部楼层
nod32认出是未知的新病毒

开两个杀软还是很有必要的…………

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
回复 支持 反对

使用道具 举报

adamandeve

136

回帖

0

积分

211

资产值

入门会员 Rank: 1

注册时间
2007-1-21
发表于 2007-9-9 01:53:45| 字数 70| - 中国–广东 电信 | 显示全部楼层
QUOTE:
原帖由 omg 于 2007-9-9 01:35 发表
nod32认出是未知的新病毒

开两个杀软还是很有必要的…………


两个。。。夸张了。。。。
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-9 08:07:47| 字数 139| - 中国–广东–深圳 电信 | 显示全部楼层
QUOTE:
原帖由 omg 于 2007-9-9 01:35 发表
nod32认出是未知的新病毒

开两个杀软还是很有必要的…………


两个确实夸张,不过有能查出来的,也算是个对比,这下NOD32 vs KIS7 ,1:0

程序应该是多重加壳了,我目前的软件检测不到是什么壳,EP段的名字好像是作者故意写的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

lkj1025

6612

回帖

109

积分

3万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2006-3-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
发表于 2007-9-9 09:10:26| 字数 10| - LAN | 显示全部楼层
呵呵,小红伞能杀的了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
我想我是:①海豹-上海被爆炒鱿鱼的人;②海米-上海没有米的人;③海狮-上海失业青年;④海带-上海待业青年
回复 支持 反对

使用道具 举报

dongmai

1万

回帖

238

积分

8万

资产值

至尊会员II Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2005-9-26
银牌荣誉勋章(注册10年以上会员)铜牌荣誉勋章(注册8年以上会员)月全勤勋章年全勤勋章2023年全勤勋章2024
发表于 2007-9-9 09:31:47| 字数 8| - 中国–湖南–长沙 电信 | 显示全部楼层
瑞星自动杀了它。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
回复 支持 反对

使用道具 举报

spirithand

5616

回帖

54

积分

4774

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2006-10-5
铜牌荣誉勋章(注册8年以上会员)
发表于 2007-9-9 09:40:34| 字数 17| - 中国–河南–郑州 电信 | 显示全部楼层
金山毒霸2007杀毒套装  检验OK!
为梦想打拼 求机遇机会
房婚车子已实现!
期待有机会为梦想插上翅膀!
回复 支持 反对

使用道具 举报

Hans

7736

回帖

117

积分

1万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2004-6-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2007-9-9 10:05:57| 字数 24| - 中国–广东–深圳 电信 | 显示全部楼层
对这个病毒,卡巴斯基输的很惨,难道7开始手软了?
X1 Carbon 2018, 16 G ,1T SSD 4K HDR
X1 Carbon 2015, 16 G ,512G SSD
X220T, I5, 8G, 128G SSD
回复 支持 反对

使用道具 举报

dongmai

1万

回帖

238

积分

8万

资产值

至尊会员II Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2005-9-26
银牌荣誉勋章(注册10年以上会员)铜牌荣誉勋章(注册8年以上会员)月全勤勋章年全勤勋章2023年全勤勋章2024
发表于 2007-9-9 10:09:19| 字数 54| - 中国–湖南–长沙 电信 | 显示全部楼层
刚又用Symantec AntiVirus 8.1企业版试了下,很不幸中了,看来这个只知升级病毒库的还是弱了点。
回复 支持 反对

使用道具 举报

omg

937

回帖

0

积分

366

资产值

入门会员 Rank: 1

注册时间
2006-7-25
发表于 2007-9-9 11:25:49| 字数 26| - 中国–广东–深圳 电信 | 显示全部楼层
kis是国际大牌 很多病毒造出来肯定是先通过它的免杀的
回复 支持 反对

使用道具 举报

kwzlj

187

回帖

0

积分

206

资产值

入门会员 Rank: 1

注册时间
2005-9-15
发表于 2007-9-12 10:11:26| 字数 13| - 中国–广东–深圳 电信 | 显示全部楼层
晕死,KIS现在还查不到。
回复 支持 反对

使用道具 举报

huanghao82

1237

回帖

0

积分

1376

资产值

入门会员 Rank: 1

注册时间
2004-5-10
发表于 2007-9-12 10:27:41| 字数 25| - 中国–湖北–武汉 电信 | 显示全部楼层
郁闷,avast居然不能识别这个病毒,最新病毒库了
SONY SZ55 T9300/4G RAM/m5s 120G+1T HDD/X3100 8400GS/intel5100
回复 支持 反对

使用道具 举报

冰蓝

912

回帖

39

积分

2150

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2003-2-12
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
发表于 2007-9-13 09:47:34| 字数 283| - 中国–江苏–南京 电信 | 显示全部楼层
呵呵,卖咖啡8.5i,貌似不能下载都不能下。

High security alert!!!

You are not permitted to download the file "spool.rar" because it is infected with the virus "W32/RBot.LU!tr.bdr".

URL = http://www.ibmnb.com/attachment.php?aid=438759

File quarantined as: .
http://www.fortinet.com/VirusEnc ... %2FRBot.LU%21tr.bdr
X220 i7/8G/160G SSD/IPS/WWAN.
IPHONE 4S 64G.
回复 支持 反对

使用道具 举报

cxcx

3768

回帖

1

积分

4052

资产值

初级会员 Rank: 1

注册时间
2006-1-20
发表于 2007-9-13 10:38:52| 字数 6| - 中国–广东–广州–越秀区 电信/天河区电信 | 显示全部楼层
小红伞,OK
回复 支持 反对

使用道具 举报

hinet

462

回帖

0

积分

836

资产值

入门会员 Rank: 1

注册时间
2003-12-25
发表于 2008-7-26 15:34:17| 字数 87| - 中国–福建–莆田 电信 | 显示全部楼层
QUOTE:
Posted by huanghao82 on 2007-9-12 10:27
郁闷,avast居然不能识别这个病毒,最新病毒库了



特地登陆过来回复一下。

avast谁用谁上当!
回复 支持 反对

使用道具 举报

botey

1179

回帖

36

积分

2万

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2004-9-20
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
发表于 2008-7-26 16:22:04| 字数 14| - 中国–上海–上海–静安区 电信 | 显示全部楼层
费尔托斯特安全V7 检查出来。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
X62 No.14
i7 5600U/Corsair 16G/Intel SSD 240G+480G/Intel AC7260
BLOG:http://botey.cn
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Powered by Discuz! X3.5 © 2001-2023 Comsenz Inc

GMT+8, 2025-2-7 21:43 , Processed in 0.192836 second(s), 63 queries , Gzip On, OPcache On.

手机版|小黑屋|安卓客户端|iOS客户端|Archiver|备用网址1|备用网址2|在线留言|专门网

返回顶部