应该是还有别的同党,建议你在PE系统下删除看看!!!
这个病毒会自动效对文件的容量,重而来确认是否重新生成新的文件.
祝你好运....
当然,新病毒当然查不出.需要PE系统么?
才20多M
你可以启动到PE系统下看看!!
删除后,"WIN+R" 输入"MSCONFIG"
看看有没有多余的启动项目.....
进了系统不要随便点盘.右键"我的电脑" "资源管理器"
看看有没有什么隐藏文件
瑞星?楼主怎么装了这么多的杀软?
提供一个办法,LZ进入DOS,找到qhbpri.dll,删之,再建一个名为“qhbpri.dll”的目录,看他还做不做乱!
可以试用web上传杀毒的网站分析一下。哪个能查出下载哪个杀毒。
所以我常常跟人们说,装杀软有个P用?除了消耗系统资源还有什么用?
歹徒都把枪顶到头上了,你的保镖还视而不见,因为这个歹徒不在你保镖的“歹徒库”里面。。。。。
qhbpri.dll,利用NTFS权限控制,先把所有访问权限去掉(最好在安全模式下面)
去掉,确定之后,然后再看下,是否又自动加载权限了?
没有的话,重启下,yy已经不会注入到所有进程里面了,然后用sreng把那键值清空,把文件用unlock删掉
如果重新加了权限,那应该还有其他进程,比如DLL或者驱动,把相关联的或者异常的,权限都kill掉
用sreng应该很容易看出来的,服务和驱动项
最好再看下系统目录和临时环境变量下的都清理下,基本所有病毒就在哪几个目录下
老鸟,俺也不好意思都说了,呵呵(个人意见,仅供参考)
或者LZ把SRENG的详细扫描日志打包传上来看看
下载不了,刚一点保存窗口刚出来kv就报警了
然后就不能下了
原帖由 美国总捅 于 2007-7-9 21:58 发表 http://www.ibmnb.com/images/common/back.gif
非常感谢HOOP的提醒.
我是从不装杀毒软件的
现在是中毒了无奈装杀毒的扫下
觉得真的病毒么杀不掉
就算杀,也只能杀,注册表还是不能自动修复
现在IBM的一键恢复没啥用了
现在的病毒都是全盘感染
恢复 ...
有条件最好不要本地硬盘备份,我的做法是将恢复镜像刻录在可引导的DVD-R上,而且是双份,恢复时直接对整个硬盘进行覆盖操作。
先在注册表里头RUN里面删去相应的项,再杀
用kv2007制作u盘病毒库功能做一个u盘,然后用光盘启动,插入U盘,杀毒,搞定
HIPS可以轻松搞掂的。
LZ没有理解我的意思吧
注册表数据先删肯定删不掉的
先通过权限控制,把qhbpri.dll的所有读写权限都删除,然后......
用IDA反了一下:
;DWORD __stdcall Thread_3(LPVOID)
CODE:00402E2C Thread_3 proc near ; DATA XREF: sub_4033D0+91o
CODE:00402E2C
CODE:00402E2C dwData2 = dword ptr -8
CODE:00402E2C dwData1 = dword ptr -4
CODE:00402E2C
CODE:00402E2C push ebp
CODE:00402E2D mov ebp, esp
CODE:00402E2F add esp, 0FFFFFFF8h
CODE:00402E32 push ebx
CODE:00402E33 push esi
CODE:00402E34 push edi
CODE:00402E35 mov edi, offset dword_4056F0
CODE:00402E3A
CODE:00402E3A loc_402E3A: ; CODE XREF: Thread_3+6Aj
CODE:00402E3A push offset aQqlogin_exe ; lpModuleName
CODE:00402E3F call GetModuleHandleA
CODE:00402E44 mov ebx, eax
CODE:00402E46 add ebx, 5F31h
CODE:00402E4C push offset aQqlogin_exe ; lpModuleName
CODE:00402E51 call GetModuleHandleA
CODE:00402E56 mov esi, eax
CODE:00402E58 add esi, 5F3Ah
CODE:00402E5E push 4 ; nSize
CODE:00402E60 lea ecx, ; nSize
CODE:00402E63 mov edx, ebx
CODE:00402E65 mov eax,
CODE:00402E67 call fReadProcessMemory
CODE:00402E6C push 4 ; nSize
CODE:00402E6E lea ecx, ; nSize
CODE:00402E71 mov edx, esi
CODE:00402E73 mov eax,
CODE:00402E75 call fReadProcessMemory
CODE:00402E7A cmp , 1357931913
CODE:00402E81 jnz short loc_402E8C
CODE:00402E83 cmp , 4294724995
CODE:00402E8A jz short loc_402E98
CODE:00402E8C
CODE:00402E8C loc_402E8C: ; CODE XREF: Thread_3+55j
CODE:00402E8C push 500 ; dwMilliseconds
CODE:00402E91 call Sleep
CODE:00402E96 jmp short loc_402E3A
CODE:00402E98 ; ---------------------------------------------------------------------------
CODE:00402E98
CODE:00402E98 loc_402E98: ; CODE XREF: Thread_3+5Ej
CODE:00402E98 push offset aQqlogin_exe ; lpModuleName
CODE:00402E9D call GetModuleHandleA
CODE:00402EA2 add eax, 5F3Ah
CODE:00402EA7 mov ds:dword_405F20, eax
CODE:00402EAC push offset aQqlogin_exe ; lpModuleName
CODE:00402EB1 call GetModuleHandleA
CODE:00402EB6 add eax, 5F44h
CODE:00402EBB mov ds:dword_405F24, eax
CODE:00402EC0 mov ecx, offset sub_402A24
CODE:00402EC5 mov edx, ds:dword_405F20
CODE:00402ECB mov eax,
CODE:00402ECD call sub_4025F8
CODE:00402ED2 call sub_402A88
CODE:00402ED7 xor eax, eax
CODE:00402ED9 pop edi
CODE:00402EDA pop esi
CODE:00402EDB pop ebx
CODE:00402EDC pop ecx
CODE:00402EDD pop ecx
CODE:00402EDE pop ebp
CODE:00402EDF retn 4
CODE:00402EDF Thread_3 endp
这段代码每半秒在qqlogin.exe进程的内存中读取两个数据,和红色的数据比较,
直到找到为止,然后xxx(还没看完) 那两个数字,第一个好像是手机号哦,
查了一下,新疆喀什的,移动全球通。。。另一个以为是QQ号,但是没查到。。。
[ 本帖最后由 _1234 于 2007-7-10 00:57 编辑 ]
原帖由 美国总捅 于 2007-7-10 08:51 发表 http://www.ibmnb.com/images/common/back.gif
反正这个是我清理最痛苦的一个病毒
先通过权限控制这个思路我知道了,但是这个病毒因为发作了,权限虽然已经取得了.删除的时候提示被占用,不能删除.
我已经把扫描结果贴了一部分,这个程序和系统的大部分关 ...
使用注册表编辑器对所有可能的启动项,将“写入”和“更改”的权限全部赋予“拒绝”看看呢(最好在安全模式下)?之后再来查毒。
卡吧 6.0 报 Trojan-Downloader.Win32.Small.ewc