U盘病毒之---------------聚宝盆(重金悬赏) 我来我网·5come5 Forum

本页主题: U盘病毒之---------------聚宝盆(重金悬赏)	显示签名 \| 打印 \| 加为IE收藏 \| 收藏主题 \| 上一主题 \| 下一主题

X

∷ 性别:

∷ 状态:

∷ 头衔: 这一刻,我......

∷ 等级: 管理员

∷ 家族: 活动仔

∷ 发贴: 22586

∷ 威望: 10

∷ 浮云: 142

∷ 在线等级:

∷ 注册时间: 2005-10-10

∷ 最后登陆: 2024-04-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ subsequent /'sΛbsikwənt/ a. 继…之后的，后来的 ]

U盘病毒之---------------聚宝盆(重金悬赏)

此楼附件无特别说明全是病毒,大家下载请小心
新的一年又来临了,过去一年,病毒界最具风头的莫过于U盘病毒了

U盘病毒通过autorun.inf调用病毒文件,一打开盘符就自动调用

在机子上各盘生成autorun.inf及病毒程序,

并会复制给插上此机子的U盘,达到继续传播的目的

为了更好的对U盘病毒进行查杀与解决

本版块特别为大家开展了各种针对U盘的帖子讨论,欢迎大家积极参与(有FY奖励哈)

此帖子仅供大家把见到的或者现在中的病毒文件发上来,最好能描述大概症状及进程
我们会尽我们最大的力量帮你们解决病毒,也为以后中病毒的蝈蝈提供最快的解决方案

禁水,禁无附件,解决方案的提供请在http://192.168.2.8/bbs/read.php?tid=418440提出

提取病毒的方法:
病毒位置:各盘根目录下
提取操作:总之不要双击
如果该病毒有让你无法显示隐藏文件的功能,可以在安全模式下先使用本楼的附件(不是病毒),然后通过下面方法让他显示(如果不行再具体讨论)

[attachment=860731]

[ 此贴被wisdom在2007-05-09 14:32重新编辑 ]

Posted: 2007-01-07 20:24 | [楼主]

X

∷ 性别:

∷ 状态:

∷ 头衔: 这一刻,我......

∷ 等级: 管理员

∷ 家族: 活动仔

∷ 发贴: 22586

∷ 威望: 10

∷ 浮云: 142

∷ 在线等级:

∷ 注册时间: 2005-10-10

∷ 最后登陆: 2024-04-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ motion /'məu∫ən/ n. 移动，运动，手势，举动，(会上)提议；v. 打手势，示意 ]

2楼:pagefile,病毒进程:lsass.exe.smss.exe(加上系统正常的是两个进程)

[ 此贴被X在2007-01-08 14:54重新编辑 ]

Posted: 2007-01-07 21:07 | [1 楼]

X

∷ 性别:

∷ 状态:

∷ 头衔: 这一刻,我......

∷ 等级: 管理员

∷ 家族: 活动仔

∷ 发贴: 22586

∷ 威望: 10

∷ 浮云: 142

∷ 在线等级:

∷ 注册时间: 2005-10-10

∷ 最后登陆: 2024-04-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ imaginary /i'mæd₃əinəri/ a. 想象的，虚构的，假象的 ]

病毒文件名:pagefile
症状:两个Lsass.EXE和smss.exe进程(很多病毒都有这个进程，具体病毒具体分析)
解决方案:http://192.168.2.8/bbs/read.php?tid=418440#2

附件：

pagefile.rar (16 K) 下载次数:66

Posted: 2007-01-07 21:35 | [2 楼]

X

∷ 性别:

∷ 状态:

∷ 头衔: 这一刻,我......

∷ 等级: 管理员

∷ 家族: 活动仔

∷ 发贴: 22586

∷ 威望: 10

∷ 浮云: 142

∷ 在线等级:

∷ 注册时间: 2005-10-10

∷ 最后登陆: 2024-04-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ steward /stjuəd/ n. (轮船、飞机的)乘务员 ]

病毒文件名:setup (可爱的熊猫烧香)
症状:打不开任务管理器,打不开msconfig,打不开注册表(十分洋气)图标为一个熊猫,外网似乎把这个病毒叫红玫瑰
解决方案:http://192.168.2.8/bbs/read.php?tid=418440#3

再次重申,附件是病毒

[ 此贴被X在2007-01-15 22:41重新编辑 ]

附件：

setup.rar (30 K) 下载次数:35

Posted: 2007-01-09 14:39 | [3 楼]

X

∷ 性别:

∷ 状态:

∷ 头衔: 这一刻,我......

∷ 等级: 管理员

∷ 家族: 活动仔

∷ 发贴: 22586

∷ 威望: 10

∷ 浮云: 142

∷ 在线等级:

∷ 注册时间: 2005-10-10

∷ 最后登陆: 2024-04-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ habitat /'hæbitæt/ n. (动植物的)打招呼，引起注意 ]

病毒文件名:EXPLORER
症状:进程有两个EXPLORER,打不开魔兽等多种游戏,删除后开机会自动打开我的文档
解决方案:http://192.168.2.8/bbs/read.php?tid=418440#4

再次重申,附件是病毒

附件：

EXPLORER.rar (9 K) 下载次数:23

Posted: 2007-01-09 16:09 | [4 楼]

震月

∷ 性别:

∷ 状态:

∷ 等级: 幕后精英

∷ 家族: 坛猪弹劾组

∷ 发贴: 16349

∷ 威望: 13

∷ 浮云: 85107

∷ 在线等级:

∷ 注册时间: 2006-03-28

∷ 最后登陆: 2024-07-10

【复制此帖地址只看此人回复】

5come5帮你背单词 [ without /wið'aut/ perp. 无，没有；ad. 在外面 ]

这是我这台机子出生9个月来大大部分（以部分efs加密的证书丢失打不开了）光临过的蠕虫和木马，全部手动揪出来的，大部分都用ollydbg跟踪研究了一番，分析这里省略。
请不要将这些文件作恶意用途。扩展名已全部加上了vir。
继续鄙视杀毒软件一万年。

远程图片：vir.JPG 附件：

virus.part1.rar (1000 K) 下载次数:32

附件：

virus.part2.rar (1000 K) 下载次数:26

附件：

virus.part3.rar (1000 K) 下载次数:25

附件：

virus.part4.rar (592 K) 下载次数:21

本帖最近评分记录：

浮云:30 (by wisdom) | 理由: "资源"发布,谢谢!

Posted: 2007-01-10 13:23 | [5 楼]

X

∷ 性别:

∷ 状态:

∷ 头衔: 这一刻,我......

∷ 等级: 管理员

∷ 家族: 活动仔

∷ 发贴: 22586

∷ 威望: 10

∷ 浮云: 142

∷ 在线等级:

∷ 注册时间: 2005-10-10

∷ 最后登陆: 2024-04-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ allege /ə'led₃/ vt. 断言，声称 ]

病毒文件名:RECYCLER
症状:未知
解决方案:未知

附件：

RECYCLER.rar (300 K) 下载次数:26

Posted: 2007-01-12 14:00 | [6 楼]

iguard

∷ 性别:

∷ 状态:

∷ 头衔: 要走了

∷ 等级: 版主管理版块：软件交流

∷ 家族: 战略研究所

∷ 发贴: 11259

∷ 威望: 5

∷ 浮云: 407

∷ 在线等级:

∷ 注册时间: 2005-12-07

∷ 最后登陆: 2009-11-04

【复制此帖地址只看此人回复】

5come5帮你背单词 [ murmur /'mə:mə/ n. 低沉连续的声音，咕哝；v. 低声说话，咕哝 ]

Quote:

引用第6楼X于2007-01-12 14:00发表的:
病毒文件名:RECYCLER
症状:未知
解决方案:未知

经过初步鉴定，该病毒为灰鸽子变种。

我尽量找解决方案。
未命名.JPG
未命名2.JPG

运行病毒后，卡巴防火墙报警。病毒程序要访问的网站是一个叫“东方新天地”的网站，主要是视频类节目。
未命名2.JPG

进程中出现winhelp.exe进程。
未命名2.JPG

在c:\windows目录里出现两个winhelp.exe文件，不对，是一个不正常的winhlep.exe文件。如图

未命名2.JPG

暂时研究到这里，我忙着复习。

[ 此贴被iguard在2007-01-13 13:47重新编辑 ]

本帖最近评分记录：

浮云:10 (by X) | 理由: 辛苦了.我想说这个病毒十分神奇....

Posted: 2007-01-13 12:51 | [7 楼]

百年孤独

∷ 性别:

∷ 状态:

∷ 头衔: 孤独是我的宿命

∷ 等级: 荣誉会员

∷ 家族: 考研俱乐部

∷ 发贴: 3774

∷ 威望: 3

∷ 浮云: 377

∷ 在线等级:

∷ 注册时间: 2006-10-14

∷ 最后登陆: 2011-03-03

【复制此帖地址只看此人回复】

5come5帮你背单词 [ prepare /pri'p/ə/ n. 准备，预备 ]

看了一下，应该不是灰鸽子。
首先，灰鸽子并不靠autorun.inf传播。如果说是变种的话，未免变得太离谱了，连老祖宗传宗接代的方式都改了。。。
其次，灰鸽子一般会向系统释放.dll文件，而这个病毒并没有向系统释放.dll文件。

病毒文件名:Recycler\recycler.exe
中毒症状:无明显症状(隐藏了进程)
病毒行为:创建病毒主程序C:\windows\hlep.exe，并安装为系统服务，服务名为windows help，在各个盘的根目录下创建autorun.inf和Recycler\recycler.exe文件，以便传播
解决办法:见附件

PS:我在命令行下删除Recycler，竟然提示出错，去掉其系统、隐藏、只读属性、并强制删除也不行，而用rename命令更改文件名后却很容易地删除了，比较奇怪。所以批处理里我加入了rename命令。

附件：

干掉Recycler.rar (1 K) 下载次数:10

本帖最近评分记录：

浮云:10 (by X) | 理由: 辛苦了-.-发现你跟LS两种症状似乎都有

Posted: 2007-01-13 15:15 | [8 楼]

bear

∷ 性别: 保密 ∷ 状态: 该用户目前不在线

∷ 头衔: 军事统帅

∷ 等级: 荣誉会员

∷ 家族: Jane靓颖

∷ 发贴: 17323

∷ 威望: 3

∷ 浮云: 369

∷ 在线等级:

∷ 注册时间: 2004-12-19

∷ 最后登陆: 2011-08-15

【复制此帖地址只看此人回复】

5come5帮你背单词 [ password /pæs'wəd/ n. 口令 ]

大哥哥们～～～～
全靠你们了啊～～～～

附件：

autorun.rar (17 K) 下载次数:17

本帖最近评分记录：

浮云:5 (by X) | 理由: 线人费

Posted: 2007-05-08 21:45 | [9 楼]

iguard

∷ 性别:

∷ 状态:

∷ 头衔: 要走了

∷ 等级: 版主管理版块：软件交流

∷ 家族: 战略研究所

∷ 发贴: 11259

∷ 威望: 5

∷ 浮云: 407

∷ 在线等级:

∷ 注册时间: 2005-12-07

∷ 最后登陆: 2009-11-04

【复制此帖地址只看此人回复】

5come5帮你背单词 [ succeed /sək'si:d/ vi. 成功，继承，接着发生；vt. 接替，接…之后 ]

Quote:

引用第9楼bear于2007-05-08 21:45发表的:
大哥哥们～～～～
全靠你们了啊～～～～

远程图片：未命名.JPG

Posted: 2007-05-09 23:23 | [10 楼]

ppke

∷ 性别: 保密 ∷ 状态: 该用户目前不在线

∷ 等级: 初出茅庐

∷ 发贴: 37

∷ 威望: 0

∷ 浮云: 1105

∷ 在线等级:

∷ 注册时间: 2006-04-29

∷ 最后登陆: 2007-06-27

【复制此帖地址只看此人回复】

5come5帮你背单词 [ rehearsal /ri'hə:səl/ n. 预演，排练 ]

中了这种u盘病毒，麻烦大家帮忙

附件：

新建文件夹 (2).rar (8 K) 下载次数:12

Posted: 2007-06-09 15:21 | [11 楼]

百年孤独

∷ 性别:

∷ 状态:

∷ 头衔: 孤独是我的宿命

∷ 等级: 荣誉会员

∷ 家族: 考研俱乐部

∷ 发贴: 3774

∷ 威望: 3

∷ 浮云: 377

∷ 在线等级:

∷ 注册时间: 2006-10-14

∷ 最后登陆: 2011-03-03

【复制此帖地址只看此人回复】

5come5帮你背单词 [ suicide /'sjuisaid/ n. 自杀(事件)，自杀者 ]

11楼的解决办法，见附件。本地实验有效。

附件：

KillVirus.zip (1 K) 下载次数:13

Posted: 2007-06-09 17:21 | [12 楼]

ppke

∷ 性别: 保密 ∷ 状态: 该用户目前不在线

∷ 等级: 初出茅庐

∷ 发贴: 37

∷ 威望: 0

∷ 浮云: 1105

∷ 在线等级:

∷ 注册时间: 2006-04-29

∷ 最后登陆: 2007-06-27

【复制此帖地址只看此人回复】

5come5帮你背单词 [ blanket /'blæŋkit/ n. 毯子，厚厚一层 ]

Quote:

引用第12楼百年孤独于2007-06-09 17:21发表的:
11楼的解决办法，见附件。本地实验有效。

不行啊，提示找不到mstkpro.exe
是不是要在安全模式下面？？

Posted: 2007-06-09 18:13 | [13 楼]

百年孤独

∷ 性别:

∷ 状态:

∷ 头衔: 孤独是我的宿命

∷ 等级: 荣誉会员

∷ 家族: 考研俱乐部

∷ 发贴: 3774

∷ 威望: 3

∷ 浮云: 377

∷ 在线等级:

∷ 注册时间: 2006-10-14

∷ 最后登陆: 2011-03-03

【复制此帖地址只看此人回复】

5come5帮你背单词 [ undoubtedly /Λn'dautidli/ ad. 不容置疑地，肯定地 ]

……

你看看现在各个盘下还有没有autorun.inf和mstkpro.exe？如果没有，已经杀干净了。

Posted: 2007-06-09 18:32 | [14 楼]

5come5帮你背单词 [ subsequent /'sΛbsikwənt/ a. 继…之后的，后来的 ] U盘病毒之---------------聚宝盆(重金悬赏)

5come5帮你背单词 [ motion /'məu∫ən/ n. 移动，运动，手势，举动，(会上)提议；v. 打手势，示意 ]

5come5帮你背单词 [ imaginary /i'mæd3əinəri/ a. 想象的，虚构的，假象的 ]

5come5帮你背单词 [ steward /stjuəd/ n. (轮船、飞机的)乘务员 ]

5come5帮你背单词 [ habitat /'hæbitæt/ n. (动植物的)打招呼，引起注意 ]

5come5帮你背单词 [ without /wið'aut/ perp. 无，没有；ad. 在外面 ]

5come5帮你背单词 [ allege /ə'led3/ vt. 断言，声称 ]

5come5帮你背单词 [ murmur /'mə:mə/ n. 低沉连续的声音，咕哝；v. 低声说话，咕哝 ]

Quote:

5come5帮你背单词 [ prepare /pri'p/ə/ n. 准备，预备 ]

5come5帮你背单词 [ password /pæs'wəd/ n. 口令 ]

5come5帮你背单词 [ succeed /sək'si:d/ vi. 成功，继承，接着发生；vt. 接替，接…之后 ]

Quote:

5come5帮你背单词 [ rehearsal /ri'hə:səl/ n. 预演，排练 ]

5come5帮你背单词 [ suicide /'sjuisaid/ n. 自杀(事件)，自杀者 ]

5come5帮你背单词 [ blanket /'blæŋkit/ n. 毯子，厚厚一层 ]

Quote:

5come5帮你背单词 [ undoubtedly /Λn'dautidli/ ad. 不容置疑地，肯定地 ]

5come5帮你背单词 [ subsequent /'sΛbsikwənt/ a. 继…之后的，后来的 ]

U盘病毒之---------------聚宝盆(重金悬赏)

5come5帮你背单词 [ imaginary /i'mæd₃əinəri/ a. 想象的，虚构的，假象的 ]

5come5帮你背单词 [ allege /ə'led₃/ vt. 断言，声称 ]