论坛 › 系统与软件区 › 【原创】一个KIS7没有查出的病毒的手工清除方法，暂叫'池病毒'吧

Hans 发表于 2007-9-8 22:24

【原创】一个KIS7没有查出的病毒的手工清除方法，暂叫'池病毒'吧

病毒层出不穷，有时也是自己疏忽，再就是，有些所谓的病毒，并没有太多破坏性的力量，只能称为恶作剧病毒

今天忘了调试什么软件时，降低了KIS7 的安全级别，主动防御也取消了注册表监控，后来感觉系统有些变慢的迹象，重启也无果，所以就准备启用任务管理器查看

一下，呵呵，问题来了，任务管理器一闪而过，我感觉不好，再启用注册表编辑器，也是同样现象，果然中招了

好在一般的病毒也会和作者一样，有弱智的时候，下面就开始和它玩玩了。。。

首先：把系统的注册表编辑器改名 ，由regedit.exe改成rege.exe ,名字随便，然后再次启动rege.exe , 哈哈，能启动了，当然是先奔 run 而去，果然，多了个家伙在那里，我是不可能增加这个东西的

[ 本帖最后由 Hans 于 2007-9-8 23:08 编辑 ]

Hans 发表于 2007-9-8 22:28

呵呵，看到了吧，那个 伪装成 Microsoft Value Service的，就是病毒体，病毒文件名是spool.exe ,spool ,一般是打印机池之类的服务，它这样改自己的名字，显然是为了迷惑大家

搜索之，找到了，就在windows\system32目录，文件居然有1.5M之巨，靠，编程水平是不是需要提高啊，哈哈

Hans 发表于 2007-9-8 22:29

要取消病毒，首先需要删除启动部份，目前是只在run 里有，我们可以试试删除此注册表项，为了测试其是否起作用，我将kis7 主动防御的注册表监控打开了，删除以后，一会儿就弹出了这个提示，呵呵

Hans 发表于 2007-9-8 22:33

所以，我们现在首先要删除内存中运行的病毒进程，然后再删除注册表项

别忘了，病毒已经控制了任务管理器，我们只能用其他方法，这里有Longhorn的任务管理器，可像其他程序一样直接运行，所以，就用它来删除病毒进程

附件是压缩包，可解压到任何一个目录运行，最好不要覆盖系统的文件

Hans 发表于 2007-9-8 22:35

Longhorn 版本的任务管理器界面

启动longhorn的任务管理器，找到spool ,停止它

Hans 发表于 2007-9-8 22:38

再次启动rege.exe (改名后的注册表管理器)，找到run 项目，删除spool

到系统目录 system32 ,删除spool.exe

我是将文件拷贝到了其他目录，再次使用kis 7查杀，还是报告无病毒和恶意程序，真是有些失望了 ... ...

Hans 发表于 2007-9-8 22:44

最后总计一下：
这个所谓的spool ,我们赞称它为 池病毒 ，除了影响系统速度，禁止你启动注册表管理器和任务管理器外，还未发现其他破坏迹象，或者是未到时候，但是还有带有病毒的一些特征，至少是影响我的使用了，好在，这个所谓的病毒写手，水平有些洼，对系统的改动不多，手工删除还是没费什么事儿

注意事项：
防病毒，时刻不能松懈，在不影响系统速度的情况下，尽可能的打开实时文件监控和注册表监控，遇到可疑程序，酌情禁止其运行，可能装了杀毒软件速度会慢些，但是总比你被病毒啃了，再重装系统来的快吧，其中取舍，自己感受，呵呵

好了，手工杀毒结束。。。:D

toplast 发表于 2007-9-8 22:47

Hans 发表于 2007-9-8 22:51

注意：此贴附件是我提到的病毒体，请勿随意使用，可能会对你的系统造成伤害，仅提供给计算机水平较高的用户测试你的系统的防毒效果
附这个文件的DLL依赖和导入导出函数，除了创建文件这个比较明显的，倒是未发现其他的

Hans 发表于 2007-9-8 23:11

原帖由 toplast 于 2007-9-8 22:47 发表 http://www.thinkpad.cn/forum/images/common/back.gif
xp 系统么？也可以在cmd下用tasklist列出进程，然后根据进程的pid（例如1234），用ntsd -c q -p 1234 来杀灭进程

用任务管理器适合多数人，至少是能直接看到文件所处位置，便于手工删除

omg 发表于 2007-9-9 01:35

nod32认出是未知的新病毒

开两个杀软还是很有必要的…………

adamandeve 发表于 2007-9-9 01:53

原帖由 omg 于 2007-9-9 01:35 发表 http://www.ibmnb.com/images/common/back.gif
nod32认出是未知的新病毒

开两个杀软还是很有必要的…………

两个。。。夸张了。。。。

Hans 发表于 2007-9-9 08:07

原帖由 omg 于 2007-9-9 01:35 发表 http://www.thinkpad.cn/forum/images/common/back.gif
nod32认出是未知的新病毒

开两个杀软还是很有必要的…………

两个确实夸张，不过有能查出来的，也算是个对比，这下NOD32 vs KIS7 ,1:0

程序应该是多重加壳了，我目前的软件检测不到是什么壳，EP段的名字好像是作者故意写的

lkj1025 发表于 2007-9-9 09:10

呵呵，小红伞能杀的了

dongmai 发表于 2007-9-9 09:31

瑞星自动杀了它。

spirithand 发表于 2007-9-9 09:40

金山毒霸2007杀毒套装检验OK！^u^

Hans 发表于 2007-9-9 10:05

对这个病毒，卡巴斯基输的很惨，难道7开始手软了？

dongmai 发表于 2007-9-9 10:09

刚又用Symantec AntiVirus 8.1企业版试了下，很不幸中了，看来这个只知升级病毒库的还是弱了点。

omg 发表于 2007-9-9 11:25

kis是国际大牌 很多病毒造出来肯定是先通过它的免杀的

kwzlj 发表于 2007-9-12 10:11

晕死，KIS现在还查不到。

huanghao82 发表于 2007-9-12 10:27

郁闷，avast居然不能识别这个病毒，最新病毒库了

冰蓝 发表于 2007-9-13 09:47

呵呵，卖咖啡8.5i，貌似不能下载都不能下。

High security alert!!!

You are not permitted to download the file "spool.rar" because it is infected with the virus "W32/RBot.LU!tr.bdr".

URL = http://www.ibmnb.com/attachment.php?aid=438759

File quarantined as: .
http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=quickSearchDirectly&virusName=W32%2FRBot.LU%21tr.bdr

cxcx 发表于 2007-9-13 10:38

小红伞，OK

hinet 发表于 2008-7-26 15:34

Posted by huanghao82 on 2007-9-12 10:27 http://www.thinkpad.cn/forum/images/common/back.gif
郁闷，avast居然不能识别这个病毒，最新病毒库了


特地登陆过来回复一下。

avast谁用谁上当！

botey 发表于 2008-7-26 16:22

费尔托斯特安全V7 检查出来。

查看完整版本: 【原创】一个KIS7没有查出的病毒的手工清除方法，暂叫'池病毒'吧