谁知道这是什么鸟病毒?
现在的病毒越来越混帐了这种名字叫我怎么百度
开始是中机器狗猫癣
照网上把USP10.DLL全删了还是不解决
启动项全清,服务全禁,安全模式也杀了还是搞不定。。
[ 本帖最后由 endrollex 于 2009-2-3 21:22 编辑 ] 随便运行个EXE
模块里一大堆8位随机英文的DLL
问题应该出在这 那个东西本身不是毒啊, 是系统文件 随机 文件名 病毒 我昨天是带毒装360 更新 然后安全模式杀
拔网线重装系统。。
折腾了2小时 TMD 总算找到了 原来叫IFEO劫持 这个病毒貌似只加载了一个服务,而且msconfig的启动项没有使用。主要还是几个驱动,浏览器加载项,释放文件插入进程,猥琐的usp10.dll,外加替换系统文件。你没把驱动和那些浏览器加载项删掉,插入进程的文件没删除,替换的系统文件没有拿正常的覆盖,USP10.DLL一样不能清理干净,而且联网还下木马。
你用wsyscheck看的那些随机八位数的就是上面说的下载的盗号木马,那些可以先不管,可以放在删除完USP10.DLL及相关的病毒删除后再做,先删那些除了让机子流畅一点好处理之外没有任何意义。而且也容易解决,删除木马下载器后你用WSYSCHECK,卸载模块并删除文件就可以了,不过注册表有不少地方要清理
可以参考一下这个帖http://bbs.ikaka.com/showtopic-8592261.aspx
[ 本帖最后由 ch23 于 2009-2-4 09:59 编辑 ] 原帖由 endrollex 于 2009-2-4 09:47 发表 http://bbs.saraba1st.com/images/common/back.gif
TMD 总算找到了 原来叫IFEO劫持
晕~这个病毒有用到IFEO劫持,但你顶楼的图中的随机八位数不是,这个病毒用IFEO劫持的只不过是让你的安全工具不能使用,至少我看过的中毒后的日志,都是用svchost.exe
劫持的,是最后清理战场时才需要做的 原帖由 ch23 于 2009-2-4 09:53 发表 http://bbs.saraba1st.com/images/common/back.gif
这个病毒貌似只加载了一个服务,而且msconfig的启动项没有使用。主要还是几个驱动,浏览器加载项,释放文件插入进程,猥琐的usp10.dll,外加替换系统文件。你没把驱动和那些浏览器加载项删掉,插入进程的文件没删除,替换的系统文 ...
吐血了,那么多地方要手动
早上用这方法只删掉一部分
http://bbs.ikaka.com/showtopic-8591253.aspx 原帖由 endrollex 于 2009-2-4 11:32 发表 http://bbs.saraba1st.com/images/common/back.gif
吐血了,那么多地方要手动
早上用这方法只删掉一部分
http://bbs.ikaka.com/showtopic-8591253.aspx
没办法,现在的病毒都不想让你轻松删除了,而且猥琐的usp10.dll就是让你重装也中,所以做好防护比事后补救更重要 360说了,牛年新木马,重装也难除,去下专杀吧
页:
[1]