不只有explorer之类的被注入
系统的关键程序全部被注入**\
完了!
这样搞法太累了。还不如全盘格式化重装 汗,原来我认为的垃圾瑞星,这次居然在我想下载该附件的时候把附件给删除了:-| 关于这个病毒,摆渡上还是有些介绍的 这么强的毒,没听说过啊,在那个上面中地, 偶的没反应,压缩包还能看到dll文件,解压缩之后变空文件夹。用大蜘蛛和nod32都没有反应,ssm也没有报警。用icesword也没有看到进程。于是就把下的包和解压缩文件删掉了。
用icesword——设置——禁止创建进程之后再删吧,要不用antispy砍一下。
[ 本帖最后由 黄药片 于 2007-7-10 22:28 编辑 ] 我把那个idb文件发给你吧。重新下载,刚才的文件没传完。。。1
[ 本帖最后由 _1234 于 2007-7-10 23:56 编辑 ]
回复 #42 美国总捅 的帖子
重新传了一下。学反汇编的话,先学汇编吧,找一本80x86的汇编语言教程或者直接找Intel的CPU指令手册(可以在Intel下载)看看,然后自己写几个程序,自己反汇编一下,对照对照就差不多了哈哈。。。 看来又是个映象劫持类型的病毒,清除是比较麻烦装一只狗!!!
winpatrol plus,可以报告程序自动加载,病毒在后台搞鬼,它会报告,并提示,如果杀毒软件不报,它可以出提示,凡是自动搞鬼的程序都回被报告,很快就知道那些搞鬼的程序,曾经靠他帮助识别出“千橡的垃圾”,有近10个关联文件,隐藏的很好,甚至连文件属性都变成“windows international”的产品,真够无耻,安全模式,手工删除,可以装一个试一下。 这种病毒 现在也是有的,碰上过好几次,要注册表,PE,文件日期,和进程一起查。 顶一下楼主的签名回复 #46 美国总捅 的帖子
http://www.intel.com/products/processor/manuals/index.htm这个是intel CPU的技术文档,可能对楼主太专业了?
可以先看看清华出的那本80x86汇编的书吧。
回复 #1 美国总捅 的帖子
能打开隐藏文件吗?LZ感觉你那个文件,想AV终结者的一个进程
你可以试试专杀 病毒越来越狡猾了。真的防不胜防。 卡巴斯基反病毒6.0
The requested URL http://www.ibmnb.com/attachment.php?aid=407971 is infected with Trojan-Downloader.Win32.Small.ewc virus
LZ 干嘛不用卡巴斯基?
[ 本帖最后由 tpbb_fan 于 2007-7-12 14:11 编辑 ]