pcMing工作室}^2D\4n4{pm随机7位/8位字母组合成的恶意U盘BingDu的分析与查杀【转载】Lastupdated:2007-6-14pcMing工作室$V'V*`3z7}.V
'd
P4I7lI+rq7w(o:h
x0写在前面:
`'Cz#[6u/|0
q
DS_:I2P~b
h0此病毒的“劣根”表现在如下的几个主要方面
yw&{Q.Z?
g,r?0'O ngM8tB
i01、将目前知名的杀毒软件(如卡巴)和工具(如SREng)等通过 IFEO HIJACK使之无效,谢绝进一步的被探测和处理。
A
P0o6@Z#Z,w0P5m02、破坏安全模式,无法进入安全模式,使处理难度加大。
${MaAO8Q;Y03、通过U盘传播 没完没了。
w _pR(VlfD#U0U:m$o6r7F7u9yq0请仔细阅读清新阳光 的分析报告和处理建议。pcMing工作室U
HwC~1f!Z
pcMing工作室2aXP'}4WWap/|&Avg对于处理建议,我有一个更容易的做法pcMing工作室1E
{;` LT!F\a5d_&P(H
#g1]bm!m#~
s l)L0(1)下载 SRENG【teyqiu】.com 文件运行后 修复安全模式
G[$b{[8M5b0SRENG【teyqiu】.com 的下载见 >> http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.htmlpcMing工作室0Ew]f+u1[^
G3c
E4jc$s-@.B0方法:系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
4CmL\Ux0
IvXj:XI0(2) 利用SREng“智能扫描”功能获得分析报告(SREng.log)
I:W)Y\0\J'k#lw0}N,o6[(zo!n;~VV,x;y0分析报告后利用PowerRMV或者下面推荐的冰刃等工具 删除相关病毒文件pcMing工作室#B2D2VJ"f/hB Q
PowerRMV的下载见本文最后pcMing工作室Cf F.q3kSJD7Nu
u0e1a,B'ew'R0(3)处理善后事宜:将regedit.exe改名为 ss.com 运行后,删除无关的IFEO项目 或者用下文推荐的autoruns软件。