对联式悲哀 » 日志 » Global/MS-DOS/Boom.vbs病毒后遗症
Global/MS-DOS/Boom.vbs病毒后遗症
MaaJiaa 发表于 2008-07-17 01:19:37
欢迎转载,但请保留 作者:MaaJiaa@Virus.Zone3.RYGH
首先恭喜该病毒上周终于荣登卡巴斯基每周病毒报告的首位
卡巴对其命名为Worm.Win32.Autorun.eed
既然卡巴能查它了,清除病毒的工作大概可以简单很多,安全模式下全盘扫描是王道!
手动杀毒方法见《新·打印店Global病毒解决方案》
一些早期发现的病毒后遗症修复脚本也在上面这个链接里有说明。
以下这些是前几天帮同学杀毒时发现的某版本MS-DOS.com(大小为220K)后遗症,
其中有些后遗症其他版本也有而且相当恶心,例如修改exe文件...
我想说,要是你中毒已经很久,估计硬盘里能改的exe都已经被病毒改了一遍
最省事的办法还是重装吧,格C盘重装,其他盘里面的那些exe都别要了。
1. 病毒会修改运行过的exe文件
更新杀毒软件病毒库,安全模式下全盘扫描,
如果能查出exe被感染那最好,选择“清除病毒”而不是“删除文件”试试
查不出的话,对于该病毒会修改exe文件的问题,除了重装,
我目前也不知道还有没有别的办法解决...
或许可以用filemon监视到底是哪个进程在修改exe,
或许是这些exe互相改来改去...
08年8月2日更新:
这些被修改的exe卡巴斯基可以正常清除,报警为worm.win32.Huhk.c
在任务管理器里面结束掉explorer.exe进程,
然后文件--新建任务--浏览,找到卡巴斯基的主程序avp.exe运行,执行全盘扫描
其它杀毒软件可以也类似操作。
2. 一些漏掉的映像劫持项
运行SREng(下载地址及使用方法见官方页面),找到 启动项目 -- 注册表项
里面如果还有其他形如<IFEO[xxx.exe]>的项(红字),把那些删掉
这个是某些版本的Global会遗留的问题,映像劫持office系列,photoshop等等软件,
造成Word/PowerPoint/Photoshop等程序无法使用。
3. 控制面板被全面禁用
可以运行组策略编辑器gpedit.msc,
找到 用户配置 -- 管理模板 -- 控制面板 ,在这里面随便改一改,
例如把每一项先启用组策略然后再改回未配置...
Home版XP没有组策略编辑器,需要手动修改注册表
病毒到底做了哪些修改我不清楚,
只能照着MS_Windows版精华区x-13-19的帖子改...
MS_Windows精华区的这篇贴子有详细说明(其中有几项遗漏),
但是其中 HKEY_USER\用户名\ 可以换成 HKEY_CURRENT_USER\
P.S. 该链接只能每天23点以前查看,大家也可以Google 注册表+控制面板...
我对照了我自己的系统,发现默认情况下
system主键下没有东西,Network这个主键不存在
所以给一个一步到位的方法:
运行cmd,然后输入:
reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies backup.reg
这一步是备份,防止误删,
成功后会在 C:\Documents and Settings\当前用户名\ 这个目录下生成backup.reg的文件,
需要恢复时双击导入注册表即可。接下来:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /va
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network
P.S. 关于reg命令的详细情况请自行调用帮助参数reg /?
4. 其他不明后遗症
例如压缩包不能打开,photoshop被禁用,都是提示“管理员限制”
不知道是病毒改了什么地方,我目前还没有解决...
首先恭喜该病毒上周终于荣登卡巴斯基每周病毒报告的首位
卡巴对其命名为Worm.Win32.Autorun.eed
既然卡巴能查它了,清除病毒的工作大概可以简单很多,安全模式下全盘扫描是王道!
手动杀毒方法见《新·打印店Global病毒解决方案》
一些早期发现的病毒后遗症修复脚本也在上面这个链接里有说明。
以下这些是前几天帮同学杀毒时发现的某版本MS-DOS.com(大小为220K)后遗症,
其中有些后遗症其他版本也有而且相当恶心,例如修改exe文件...
我想说,要是你中毒已经很久,估计硬盘里能改的exe都已经被病毒改了一遍
最省事的办法还是重装吧,格C盘重装,其他盘里面的那些exe都别要了。
1. 病毒会修改运行过的exe文件
更新杀毒软件病毒库,安全模式下全盘扫描,
如果能查出exe被感染那最好,选择“清除病毒”而不是“删除文件”试试
查不出的话,对于该病毒会修改exe文件的问题,除了重装,
我目前也不知道还有没有别的办法解决...
或许可以用filemon监视到底是哪个进程在修改exe,
或许是这些exe互相改来改去...
08年8月2日更新:
这些被修改的exe卡巴斯基可以正常清除,报警为worm.win32.Huhk.c
在任务管理器里面结束掉explorer.exe进程,
然后文件--新建任务--浏览,找到卡巴斯基的主程序avp.exe运行,执行全盘扫描
其它杀毒软件可以也类似操作。
2. 一些漏掉的映像劫持项
运行SREng(下载地址及使用方法见官方页面),找到 启动项目 -- 注册表项
里面如果还有其他形如<IFEO[xxx.exe]>的项(红字),把那些删掉
这个是某些版本的Global会遗留的问题,映像劫持office系列,photoshop等等软件,
造成Word/PowerPoint/Photoshop等程序无法使用。
3. 控制面板被全面禁用
可以运行组策略编辑器gpedit.msc,
找到 用户配置 -- 管理模板 -- 控制面板 ,在这里面随便改一改,
例如把每一项先启用组策略然后再改回未配置...
Home版XP没有组策略编辑器,需要手动修改注册表
病毒到底做了哪些修改我不清楚,
只能照着MS_Windows版精华区x-13-19的帖子改...
MS_Windows精华区的这篇贴子有详细说明(其中有几项遗漏),
但是其中 HKEY_USER\用户名\ 可以换成 HKEY_CURRENT_USER\
P.S. 该链接只能每天23点以前查看,大家也可以Google 注册表+控制面板...
我对照了我自己的系统,发现默认情况下
system主键下没有东西,Network这个主键不存在
所以给一个一步到位的方法:
运行cmd,然后输入:
reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies backup.reg
这一步是备份,防止误删,
成功后会在 C:\Documents and Settings\当前用户名\ 这个目录下生成backup.reg的文件,
需要恢复时双击导入注册表即可。接下来:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /va
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network
P.S. 关于reg命令的详细情况请自行调用帮助参数reg /?
4. 其他不明后遗症
例如压缩包不能打开,photoshop被禁用,都是提示“管理员限制”
不知道是病毒改了什么地方,我目前还没有解决...
相关日志:
- » 关于worm.win32.Huhk.c
- » 警惕病毒的映像劫持
- » 我恨毒海战!
- » U盘使用Tips总结
- » ARP攻击扫盲贴
收藏:
QQ书签
del.icio.us
订阅:
Google
抓虾
