我晕死

水帖创作者 · 发表于 2006-9-15 12:56:47

我觉得你D盘好象也保不住勒,给你发点资料你看看吧..

combo · 发表于 2006-9-15 12:57:40

还有，杀毒后，再看看winnt目录下有没有rundl132文件，注意看噢。有点话，删调。

水帖创作者 · 发表于 2006-9-15 13:15:06

病毒自己运行后把病毒复制到Windows下,文件名是:%SystemRoot%\rundl132.exe

如果运行被感染的文件,病毒就会把病毒体复制到其他乱七八糟的文件:%SystemRoot%\logo_1.exe

而且这个病毒同时会在病毒文件夹下自己声成:病毒目录\vdll.dll

这个病毒从X盘开始向前寻找任何可用分区中的exe文件也就是传说中的执行文件啦.然后传染差不多大小27kb-10mb的exe文件，传染完成后在被传染的文件夹中再生成一个该死的东西.:_desktop.ini (这个文件的属性一般为:系统,隐藏.)

病毒会自行尝试修改这个文件:%SysRoot%\system32\drivers\etc\hosts.,

然后病毒开始修改注册表勒..,病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

病毒运行了以后会尝试查找窗体名为:<<<<<<RavMonClass>>>>>>的程序，找到窗体后发送口令关闭这个程序.,.!哎,,高手多阿..

然后开始对以下杀毒软件进程名，找到以后后终止运行(所以杀毒软件就不好使啦.):
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

这个时候又开始勒...病毒尝试用以下命令终止一些杀毒软件:net stop "Kingsoft AntiVirus Service"

然后开始发送ICMP探测数据<<<Hello,World>>>>>,看看网络状态.,如果网络能用的时侯,
枚举内网所有共享的主机,,.并且对其用弱口令连接\\IPC$、\admin$等目录,,,,,.如果连接成功啦将进行网络感染..,

继续感染小白机器上的exe文件,但不碰小白机器上以下文件夹中的文件:

system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

枚举系统进程,,..尝试将病毒dll也就是vdll.dll有选择性的加入以下进程名对应的程序:
Explorer
Iexplore
找到和条件一样的进程后随便注入以上两个进程中的一个,,..小白,好好看看哟。 .西西

当外网能用的时候,,被注入的dll文件试着连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
小白,三个程序都为木马程序

病毒会把下载完的<<<1.txt>>>的内容加到以下注册表项里:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
行勒..小弟弟也就懂这一点...有部分是复制的.,
这是这个病毒的运行方式...杀毒的办法呢有一个.,不过需要你破费啦.
另外你的D盘已经报废勒...

水帖创作者 · 发表于 2006-9-15 13:23:44

比较好的办法是:就是用我附件的那个专杀工具,如果不行的话,,看下面..
1.,就是格了C盘,重装系统,然后不安装任何软件,不运行其他程序,直接运行专杀工具..,
2.,.GHOST也许有效.但如果D盘的软件被感染了,则GHOST后,系统启动时,也会把D盘或其他盘的程序一起打开,可能再次中毒.如果GHOST无效,还是按照1的方法.

小白 · 发表于 2006-9-15 14:20:10

哈，那些东西我都看一次，也都杀了一次，再下个你的专杀工具吧，我没想法了

杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧

[s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20]

夏天草莓 · 发表于 2006-9-15 14:25:25

小白疯了

小白 · 发表于 2006-9-15 14:32:08

快了，NND，重装电脑还要我下班后搬过去，晕死，对我又没关系的，到时候大家一起中毒，关我P事呀

夏天草莓 · 发表于 2006-9-15 14:33:01

说气话不利于解决问题的

greenicexhl · 发表于 2006-9-15 14:37:13

引用第2楼阿福于2006-09-15 11:41发表的“”:

有一天在起点是不是听你说过你都用GHOST的？

我用GHOST的～五分钟搞定

水帖创作者 · 发表于 2006-9-15 15:42:17

什么东西5分钟搞定..?

我晕死

浏览过的版块

单车之家 - BikeHome.net

分享你和单车的快乐故事