|
|
本来打算今天晚上写篇帖子关于dumprep -0-k问题
原帖地址:http://bbs.rpgchina.com/read-htm-tid-23307.html
刚好朋友打电话来叫我过去,原来中了一个恶意插件就是9505导航网站
所以在这里和dumprep -0-k问题一起做一下说明
首先说说9509问题,这个比较简单......
我现在就是用刚修好的电脑在发帖子,没有任何不良反应
这个大概是从10月底才出现的.症状是:
1.强行将IE锁定为9505上网导航
2.开机后自动在桌面建立免费....什么的网页(删除后大约10秒左右继续建立)我在开机后查看过进程,发现开机后任务管理器显示加载了2个IE进程(强行结束会死机),等所有进程加载完毕后桌面就出现上面说的那2个网页
3.不能访问有关系统安全的地址(如百度贴吧,百度空间,瑞星在线杀毒等),点开后会直接连接到9505上网导航或其他网站(记不清楚了)
4.用安全卫士,超级兔子,流氓软件清理大师或其他病毒扫描程序等查杀电脑会直接自动关机.并且无法安装扫描类工具如wopti,eqspy,bfu 修复工具不会执行,在进程中一闪而过
如兔子,黄山等IE修复工具只是启动并没有执行,直接就被关闭了
5.无法进入安全模式(一进就重起)
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“代理木马变种ANY(Trojan.PSW.Agent.any)”病毒。该病毒会自动将用户的IE主页锁定为一个名叫“9505上网导航”的网站,并会自动从网上下载新的变种病毒.ewdio可以找到Trojan.PSW.Agent.any,但也无法彻底根除
原因是:1.QQ文件夹里面含有rscfg.dll和荣成捆绑木马(D大人应该清楚荣成)启动QQ就会 发作,需要删除所有rscfg.dll文件.
2.因为9509是通过explorer.exe进程工作,大家都知道这个是桌面进程,不可能在启动里去掉,否则你就永远看不到桌面了
如果你试图上网查找专杀工具......[s:5] 哼哼!白费力气,因为所有有关查杀它的网站都被自动转成9505上网导航和其他上网导航了.....
既找不到源文件又用不了工具,这着实让我苦恼了1个多小时上网查了一下,中毒的人还不少,目前没有任何免疫的补丁.
不过既然病毒这么疯狂的屏蔽掉关于它的资料以及安全性的网站,说明它很容易被干掉
所以也就不怎么担心了
方法是:1.进入安全模式(开机后一直按F8,选择安全模式,英文版的选择safe mode)
有的朋友是无法进入安全模式的,那么就还原下系统再进
2.在安全模式下打开任务管理器(ctrl+alt+del)结束explorer.exe进程,再新建
一个explorer.exe进程
3.在开始,运行里面输入regedit在上面的编辑里的查找里面输入rscfg.dll查找
找到就删除,按F3继续查找并删除
4.进入我的电脑按ctrl+f搜索rscfg.dll并删除
5.卸载QQ,并删除QQ安装的文件夹
6.下载bfu和其他流氓软件清理工具(事实证明我的猜测是对的,任何反流氓软件都能
很快的找到它)如wopti,兔子,windows流氓软件清理大师等来删除恶意
7.用工具重装或修复IE
执行以上操作后就基本上没有任何问题了,不过小H还是要在这里推荐一下buf,这个软件已经被我放进空间里了,下载地址和使用方法一会公布
结论:我恨9505网站和他的站长.......(自动关机啊..... [s:8] 一开始朋友跟我说,我还以为是震荡波的变种呢).这个恶意不会在系统内留下任何痕迹所以有许多朋友不明原因的格盘,结果不行导致重新分区并格式化所有硬盘.唉.......[s:6]
下面介绍一下dumprep -0-k病毒
dumprep -0-k和dumprep同样使用dumprep.exe所以你上网去查的话会发现很多人给你的答案是系统报错的程序,不是病毒
其实不是这样的.....实际上dumprep -0-k会自动重起计算机.而且无法在启动里面删除
首先我们要右击我的电脑,选择属性-高级.在最下面的"启动和故障恢复"后面的设置里将"自动重新启动"前面的勾去掉.网上说什么dumprep -0-u是向微软发送错误报告这没错,但并没有正面回答dumprep -0-k是做虾米的,反正这个东西小H是从来米听说过......[s:7] 劝大家不要相信网上说的.(也有资料证明dumprep -0-k是流氓程序,是仿照系统程序dumprep -0-u做的伪装木马)kv2007也报告说dumprep -0-k是未知病毒,可疑度65%
1.打开任务管理器,查看一下是不是有averve.exe和_up.exe程序加载,如果有的话结束掉
2.查找注册表,删除averve.exe和_up.exe
3.搜索_up.exe,averve.exe文件并删除
4.如果windows或system32目录下出现许多如1.exe,5058.exe,445.exe........或其他以"数字.exe"形式的应用程序一律删除(先删除注册表,后删除程序.虽然程序可直接删除不要怕麻烦)
这些是木马开启相应数字端口的程序,木马就是通过这些程序开启相应端口,并通过这些端口来下载恶意程序和木马变种的(木马也懂得自动更新? [s:8] )
5.在启动里禁用dumprep -0-k.exe
6.安装KB837001,KB828741,KB835732 补丁(一会公布地址)
所有的删除操作参照9505说明......
又花了我2小时写帖子....现在是凌晨1:32了.小H困了[s:8] ,思想也有点麻木.总怕某些问题没说清楚
最后谈论下工具问题:
信赖杀毒软件的朋友们一定要看仔细.........
被公认的杀毒能力很强的卡巴也有致命的弱点......小H在做病毒的时候用MD5校检分析DLL文件时候发现卡巴在检测文件的时候是脱壳检测的,但是如果我加2层或2层以上壳的话...... [s:5] 果然成功欺骗了卡巴.......
所以说,有的朋友总是很纳闷"为什么没有检测到病毒就中了毒呢?"就是这个原因......
只要拥有"下载者"就很容易做出免杀木马来 [s:7]
最后说说buf工具和wopti工具:
buf是刚才提到的查杀9505最重要的工具,小H已经把这个工具收录下了
方法是,解压后安装,然后执行文件夹里的Process,swreg程序.接着运行hostsfix和Fix批处理文件.然后会提示y/n按Y后会重起.然后就米事了.... [s:7]
建议先双击shell导入注册表
wopti是功能很强大的流氓软件清理工具,不多介绍了,手指累了[s:6]
如果有什么问题再联系我
以上工具都收录在小H的空间里http://heavyrpg.ys168.com
密码和开启密码都是123456 |
|
发表于 2006-11-10 01:53:14
发表于 2006-11-10 02:47:47
楼主
发表于 2006-11-10 18:27:57