《开云(中国)官方》电脑版官方开云手机版登录入口

标题: 最新木马发布公告。。。第一次看到卡巴的无能。。本人的无奈.....发完帖准备卸载卡巴 [打印本页]

作者: qaz5629462 时间: 2008-7-30 10:40
标题: 最新木马发布公告。。。第一次看到卡巴的无能。。本人的无奈.....发完帖准备卸载卡巴
最新木马发布公告。。。第一次看到卡巴的无能。。本人的无奈.....发完帖准备卸载卡巴
这毒太牛了刚开始一开机子卡巴还能检测出来但是清除不了..再重起的时候卡巴检测的时候是未发现木马程序Trojan.Win32.Agent.pow安全模式下查杀根本找不到...我去百度看了下原来这东西能劫持杀毒软件和浏览器..劫持浏览器还没什么..在文件夹的时候输入网址照样能进...但是用浏览器就很卡。。输入的时候2秒才出1字母~好多望站好几分钟都打不开...我准备去装个RX试试
到时候上捷报...
Trojan.Win32.Agent.pow和Adware.Win32.CPush.e都是瑞星报的病毒名，Trojan.Win32.Agent.pow这个样本目前卡巴还不能检测出来，令人气愤地是这个东西运行时要映像劫持我的explorer.exe，卡巴居然还在沉默。估计这是个国产的木马，在这一点上卡巴输给瑞星了。

   拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件：
   C:\WINDOWS\system32\netdde32.exe
   C:\WINDOWS\netdde32.exe
   C:\Windows\KB908023.log (假装成微软补丁日志的可执行模块)
   将这三个文件都插入到exeplore.exe，然后映像劫持exeplore.exe，使之指向C:\WINDOWS\Sysem32\netdde32.exe。

   Adware.Win32.CPush.e释放文件：
   C:\Program Files\Common Files\CPUSH\cpush.dll
   将这个文件注册为ActiveX对象，并生成浏览器加载项[CAdLogic Object]。

   已经注入了explorer.exe的Trojan.Win32.Agent.pow将cpush.dll也注入到explorer.exe中。在注册表中直接手工删除或修改exeplorer.exe的映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)时，会马上被改回去。

   如果已经联网，Trojan.Win32.Agent.pow还会去下载一堆木马和流氓软件下来，其中包括一个假的QQ浏览器加载项：
   [腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>

清除办法：
   由于这两个东西没有驱动和服务项保护，用最新的瑞星就基本能干掉了，测试中看到了瑞星修复了explorer.exe的映像劫持。Trojan.Win32.Agent.pow释放的三个文件提示要重启删除，因为它们已经注入到了explorer.exe进程中。如果由于某种原因explorer.exe的劫持没有修复过来，下次启动时就看不到桌面了，从任务管理器中运行也会出错。需要参考下面的手工方法。

   手工解决办法很简单——
   1、在任务管理器重结束explorer.exe
   2、在任务管理器中点“文件/新建任务”，运行regedit.exe，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe项
   3、在任务管理器中点“文件/新建任务”，点“浏览”，然后在打开文件对话框找到上述它们释放的文件，直接删除。然后找到c:\windows\explorer.exe，点打开。
   4、运行360安全卫士（或瑞星卡卡，或SREng），清除浏览器加载项[CAdLogic Object]和[腾讯QQ]       {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll,

[ 本帖最后由 qaz5629462 于 2008-7-30 10:46 编辑 ]

作者: 莫失莫忘，ら′ 时间: 2008-7-30 10:40
s沙发。

写的貌似有点乱，

，看的迷糊。

[ 本帖最后由莫失莫忘，ら′ 于 2008-7-30 10:41 编辑 ]

作者: qaz5629462 时间: 2008-7-30 10:46
谁教我怎么杀。。
有什么杀毒软件和卡巴能兼容的

[ 本帖最后由 qaz5629462 于 2008-7-30 11:01 编辑 ]

作者: deyi忘形 时间: 2008-7-30 10:47
重装系统

！

作者: 绝地天天 时间: 2008-7-30 10:48
和梦幻无关！！！删

作者: qaz5629462 时间: 2008-7-30 10:50
有高手在嘛

作者: ┢┦雙子☆ 时间: 2008-7-30 10:53
看不懂．．．

作者: wshx5588 时间: 2008-7-30 10:54
重装系统！

作者: qaz5629462 时间: 2008-7-30 11:02
认为我是枪手的自己看图吧。。
卡巴的报告。。被劫持的浏览器..3分钟了都打不开。。

作者: 魔法使徒 时间: 2008-7-30 11:04

卡吧,死机

作者: 你跌 时间: 2008-7-30 11:04
谁说我们不想支持国产偏偏独宠"外货"?

国产,,给我们一个支持你的理由

作者: hancong2531167 时间: 2008-7-30 11:05
你下的是测试版的吧。大哥。下用钱买的就好了。

作者: qaz5629462 时间: 2008-7-30 11:05
提示: 该帖被管理员或版主屏蔽

作者: Share 时间: 2008-7-30 11:08
提示: 该帖被管理员或版主屏蔽

作者: qaz5629462 时间: 2008-7-30 11:09
提示: 该帖被管理员或版主屏蔽

作者: king_tears 时间: 2008-7-30 11:09

强悍

作者: →小乌鸦 时间: 2008-7-30 11:11
提示: 该帖被管理员或版主屏蔽

作者: ●′駌鴦淚 时间: 2008-7-30 11:12
沙发

作者: 风随尔动 时间: 2008-7-30 11:13
太专业了，看不懂
木马就木马吧，盗了省心

作者: paradise18 时间: 2008-7-30 11:13
不要上Y网

作者: qaz5629462 时间: 2008-7-30 11:15
提示: 该帖被管理员或版主屏蔽

作者: 流氓阿飞 时间: 2008-7-30 11:15

#83b dong

作者: ≮六月∮雨≯ 时间: 2008-7-30 11:17

胸弟。我帮你顶

作者: my_forest 时间: 2008-7-30 11:19
提示: 该帖被管理员或版主屏蔽

作者: A你从来不懂 时间: 2008-7-30 11:21
提示: 该帖被管理员或版主屏蔽

作者: 493111833 时间: 2008-7-30 11:22

沙发

作者: 命运の犬 时间: 2008-7-30 11:22
什么也不装！装也白装！都垃圾

作者: 心情流浪 时间: 2008-7-30 11:25
装个驱逐舰试试

作者: ≮六月∮雨≯ 时间: 2008-7-30 11:27

作者: qaz5629462 时间: 2008-7-30 11:30
已定购产品到期时间产品金额
瑞星杀毒+防火墙 2008-08-27 02:44:46 12元/月

作者: youlaoshu 时间: 2008-7-30 11:30
提示: 该帖被管理员或版主屏蔽

作者: 555cyndi 时间: 2008-7-30 11:32
LZ直接copy过来的

作者: 『阿虎』 时间: 2008-7-30 11:37
强帖留名

作者: メ小鱼迩メ 时间: 2008-7-30 11:48

好像杀毒软件都是不能兼容的

作者: qaz5629462 时间: 2008-7-30 12:10
提示: 该帖被管理员或版主屏蔽

作者: ￡性性￡ 时间: 2008-7-30 13:00
不装杀毒软件，弄个虚拟机，安全得很

作者: z7689388 时间: 2008-7-30 13:14
你卸不卸关我们鸟屎啊？

作者: ☆孤单dē泪 时间: 2008-7-30 13:17
卡巴是一个防御型

你下个360杀毒..新出的

欢迎光临《开云(中国)官方》电脑版官方开云手机版登录入口 (/)