永吧帖子查看 - 问一下我那个关于病毒的贴谁删的

id: 51555986137
1L | 作者：风华正茂999999 | 发布于 2014-06-02 17:31

里面的东西还没看完就贴子不存在了……再说这贴也不是毫无意义的水……

id: 51556088527
2L | 作者：Anti_Tencent | 发布于 2014-06-02 17:33

后台没看到记录，可能是51度删的。

id: 51558331499
3L | 作者：HappyLee_12 | 发布于 2014-06-02 18:29

百度抽风一直很不讲理，楼主在回收站里应该显示为系统删贴吧，可以自己申请恢复……

Anti_Tencent 于 2014-06-02 18:30:12 id: 51558371977
手机好像进不了回收站。

风华正茂999999 于 2014-06-02 22:16:36 id: 51569105102
等我有时间去申请恢复看看吧

风华正茂999999 于 2014-06-03 04:56:53 id: 51579062313
回复 @风华正茂999999 :『时间』→『条件』。

id: 51562638517
4L | 作者：123haoren757 | 发布于 2014-06-02 20:09

……

id: 51589432409
5L | 作者：虫蛊蠡 | 发布于 2014-06-03 12:00

。。

id: 51695331569
6L | 作者：风华正茂999999 | 发布于 2014-06-05 16:10

嗯，本人今天已成功将此病毒销毁，但损失了一些程序。感谢各位吧友的帮助！

风华正茂999999 于 2014-06-05 17:45:16 id: 51699111784
卧槽刚扫了一遍这病毒又来了，360真不靠谱……

Weapon123hsy 于 2014-06-05 17:47:34 id: 51699209680
回复风华正茂999999 ：。。。

HappyLee_12 于 2014-06-05 23:12:15 id: 51716260991
回复风华正茂999999 : 汗，别用360了…………………………

123haoren757 于 2014-06-07 07:49:46 id: 51780468791
上次病毒贴我建议了LZ先别用360。。

id: 51725598519
7L | 作者：风华正茂999999 | 发布于 2014-06-06 07:04

http://pan.baidu.com/s/1ntFPuYH
这是一个病毒样本（程序仍能运行的，不能运行的另一个样本太大传不上来，回收站打不开所以不能恢复原来的贴子），各位能否帮我看一下？
@Anti_Tencent
@虫蛊蠡
@123haoren757

风华正茂999999 于 2014-06-06 07:06:27 id: 51725633364
网络终于靠谱了一回……两个月来第一次用电脑发帖。。。

风华正茂999999 于 2014-06-06 12:26:09 id: 51738201872
都不在吗？

虫蛊蠡于 2014-06-06 13:35:32 id: 51741606136
回复风华正茂999999 ：注意文件名。我的一些黑客工具已经被和谐了

风华正茂999999 于 2014-06-06 13:44:34 id: 51742005172
回复 @虫蛊蠡 :还能看见吗？帮我看看这是什么病毒以及如何应对好吗？

Anti_Tencent 于 2014-06-06 15:28:38 id: 51746204418
回复风华正茂999999 :现在链接已经失效了。

虫蛊蠡于 2014-06-06 19:56:56 id: 51758226974
回复风华正茂999999 :被和谐了。

风华正茂999999 于 2014-06-06 20:40:18 id: 51760543290
回复 @虫蛊蠡 :卧槽丧心病狂的百度好不容易能联上网传一回就给和谐了？吞我贴，带64的贴吧不开放就算了，还干这种事？百度的服务器是有他亲爹的私房照吗？还是拿用户发泄大兴文字狱？以后再也不用除百度Hi和贴吧之外的任何产品了，恶心

123haoren757 于 2014-06-07 07:48:19 id: 51780429748
唉。。lz有机会重新传一下吧

123haoren757 于 2014-06-07 07:53:26 id: 51780568946
可以加密码压缩注意文件名

id: 51741569168
8L | 作者：虫蛊蠡 | 发布于 2014-06-06 13:34

在

id: 51780654537
9L | 作者：123haoren757 | 发布于 2014-06-07 07:56

lz先把一个被感染文件扩展名改成.123，用360杀后，过一会重新扫描看是否报毒

id: 51789598837
10L | 作者：风华正茂999999 | 发布于 2014-06-07 11:32

再次感谢各位吧友的帮助,现在最难处理的Virus.Win32.Ranmit.B已经被除掉了，还有一个比较容易搞定的病毒。待会扫描完毕就成了。另外我貌似找到感染病毒的根源了，居然是以前我下载的口袋模拟器……因为现在只有模拟器扫出了毒（还是另外的这个木马）。

风华正茂999999 于 2014-06-07 11:36:42 id: 51789811902
网络也基本恢复正常了。

id: 51793708769
11L | 作者：风华正茂999999 | 发布于 2014-06-07 12:55

真心想哭了，早知道不开网络了，开了网360处理文件速度极慢，导致木马有了可乘之机，又蔓延开了。落水狗不速打，就会变成恶狼。这次全部的EXE文件都被感染了，而且是另外一种木马，处理方式只有隔离。几乎所有的程序都被隔离了，和格式化几乎没有什么区别。很多必要的文件比如激活工具都找不到了，就算能找到也要费很大劲，损失惨重。劝各位以后下载东西千万要注意安全，网络上人狗混杂，安全软件能不关就尽量别关。

Anti_Tencent 于 2014-06-07 13:01:54 id: 51794050035
别用250。

newlife2017 于 2014-06-07 13:03:09 id: 51794115191
同时这也给楼主一个非常惨重的教训：该换快一点的电脑了 .....

风华正茂999999 于 2014-06-07 13:04:59 id: 51794210300
回复 @Anti_Tencent :唉，现在没法下载其他的。

风华正茂999999 于 2014-06-07 13:05:33 id: 51794240344
回复 @newlife2017 :……

Anti_Tencent 于 2014-06-07 13:09:38 id: 51794450768
回复 newlife2017 :这和电脑的速度没有关系。病毒一般都比杀毒软件快得多。正确的方法是杀掉病毒进程后，在病毒不活动的情况下用杀毒软件扫描。

newlife2017 于 2014-06-07 13:14:41 id: 51794706696
回复 Anti_Tencent :但是几年前的配置根本带不动国内有些最新版本的安全类软件 .. 这很无奈

风华正茂999999 于 2014-06-07 13:17:28 id: 51794846328
回复 @Anti_Tencent :进程管理器也没有什么异常进程。。。360扫完一遍再扫就这样了。。。

Anti_Tencent 于 2014-06-07 13:18:39 id: 51794904847
回复 newlife2017 :国内的安全软件都有一大堆无用的功能，所以才会带不动。国外有些免费的杀毒软件和防火墙可以用，如小红伞。

Anti_Tencent 于 2014-06-07 13:20:02 id: 51794972962
回复风华正茂999999 :有可能是隐藏进程或者是注入了正常进程。你可以用PE启动然后杀毒，如果没有PE可以进安全模式试试。

风华正茂999999 于 2014-06-07 13:21:18 id: 51795035922
回复 @Anti_Tencent :嗯。

Anti_Tencent 于 2014-6-7 13:22 id: 51795085859
回复风华正茂999999 :另外注意一点，不要在没有防火墙的情况下开网络，很危险！如果一时找不到防火墙，Windows自带的也可以。

风华正茂999999 于 2014-6-7 13:22 id: 51795114655
回复 @Anti_Tencent :PE貌似带不动360…待会我用安全模式试试。

风华正茂999999 于 2014-6-7 17:44 id: 51806686053
回复 @Anti_Tencent :病毒是被压下去了，但是大多数exe也被隔离了……

Anti_Tencent 于 2014-6-7 18:03 id: 51807605286
回复风华正茂999999 :你可以让我看看能不能修复。

风华正茂999999 于 2014-6-7 18:06 id: 51807735951
回复 @Anti_Tencent :网络又抽了……

123haoren757 于 2014-6-7 19:47 id: 51812860700
回复 Anti_Tencent :小红伞的修复。。。

newlife2017 于 2014-6-8 12:10 id: 51847983911
都是「云查杀」惹的祸 ..

id: 51812702985
12L | 作者：123haoren757 | 发布于 2014-06-07 19:44

国内，瑞星江民（和原先金山）修exe很不错的。自主引擎有国内技术沉淀。虽然杀毒率一般但是杀感染和宏病毒都不错，但江民堕落了爆出过几次官方升级文件被感染，金山走云了。目前瑞星主要靠企业版。因为我不喜欢国内数字金山？度管家流氓行为，更不喜欢国内用OEM引擎的行为，目前只好瑞星；国外大蜘蛛/eset修复都不错。楼主网络好的时候发个隔离文件试试，我看看能否修复。

id: 51812789361
13L | 作者：123haoren757 | 发布于 2014-06-07 19:46

目前别用360修复了，只隔离还不如格式化。

123haoren757 于 2014-06-07 20:08:29 id: 51813977211
回复风华正茂999999 :楼主看看被感染文件大小是否一样。重新感染是因为没杀净。感染性病毒就这样，没办法啊！

123haoren757 于 2014-06-07 20:10:07 id: 51814066174
回复 123haoren757 :被感染文件的文件大小

123haoren757 于 2014-06-07 20:14:09 id: 51814285699
顺便问一下LZ如何上网？PPPOE（宽带连接）还是直接“本地连接”

风华正茂999999 于 2014-06-07 22:07:17 id: 51820943617
回复 @123haoren757 :移动无线网。信号满满的但是网速不忍直视。这病毒最恶心的地方就是会感染系统文件，我现在重装系统有七八次了，提到重装系统和杀毒就想吐，提到网络就烦，要不是电脑里还有重要文件我早就全盘格式化了，这病毒简直烦到爆。

风华正茂999999 于 2014-06-08 11:13:18 id: 51845139393
顺便问一下PE下的杀毒软件有多大，实在不行的话我用手机下个。

123haoren757 于 2014-06-08 20:41:56 id: 51872286395
回复 @风华正茂999999 :楼主没有样本，我无法测试下哪款啊……

风华正茂999999 于 2014-06-09 05:07:01 id: 51889600364
好像木马名称是Malware.QVMXX.Gen，可能有拼错的单词，但大致是对的。

123haoren757 于 2014-06-09 07:28:05 id: 51891559017
回复风华正茂999999 :360的QVM引擎发现的病毒，病毒名不符合常规命名方式，病毒名无参考价值……

风华正茂999999 于 2014-06-09 07:38:17 id: 51891805664
回复 @123haoren757 :……

123haoren757 于 2014-06-09 07:49:43 id: 51892097092
回复风华正茂999999 :静待网络不抽传样本吧

风华正茂999999 于 2014-6-9 15:32 id: 51911165717
http://pan.baidu.com/s/1hqoVqLI 网络爆卡所以传了个最小的……

123haoren757 于 2014-6-9 16:55 id: 51914495836
回复风华正茂999999 :啊哦，你来晚了，分享的文件已经被取消了，下次要早点哟。

123haoren757 于 2014-6-9 16:58 id: 51914619727
回复风华正茂999999 :下不了啊楼主

风华正茂999999 于 2014-6-9 17:05 id: 51914932708
回复 @123haoren757 :WQTMLGBD上次传一个文件被百度吞了这次又吞了！！！！好不容易曼斯无线网不曼斯了结果百度又犯贱了，我看就是百度做贼心虚做的这个木马吧，实在恶心！以后绝对不会再用这个视用户利益为粪土的垃圾百度网盘！

123haoren757 于 2014-6-9 17:09 id: 51915101583
回复风华正茂999999 :...楼主网盘里还有那个文件吗？重新生成分享链接行不行？现在网络能重传吗

风华正茂999999 于 2014-6-9 17:13 id: 51915252736
回复 @123haoren757 :曼斯无线网的曼斯病又发作了，刚刚用手机登了一下登不上去，浪费了许多流量。总之我以后再也不用这秀下限的网盘了。

123haoren757 于 2014-6-9 17:17 id: 51915422582
回复风华正茂999999 :http://good.gd/这个不用注册，压缩rar上传挺适合临时传输的

123haoren757 于 2014-6-9 21:42 id: 51928476318
回复 @风华正茂999999 :lz被百度抽的文件多大

123haoren757 于 2014-6-9 21:42 id: 51928484266
回复 @风华正茂999999 :lz被百度抽的文件多大

风华正茂999999 于 2014-6-9 21:57 id: 51929338652
回复 @123haoren757 :24.5K

123haoren757 于 2014-6-9 22:00 id: 51929510847
回复 @风华正茂999999 :。。。。。好吧我服了网络

123haoren757 于 2014-6-9 22:13 id: 51930232822
app 百度云 9.8M 微云 8.2M 华为网盘 2.3M

风华正茂999999 于 2014-6-11 07:27 id: 51994974305
http://ys-j.ys168.com/2.0/336040634/m7J3I545I3MPHTUJjfSN/Locator.exe 这次应该可以了

123haoren757 于 2014-6-11 12:41 id: 52006812269
回复风华正茂999999 :防盗链，提示请到用户空间下载

123haoren757 于 2014-6-11 12:46 id: 52007072737
回复 123haoren757 :估计得发网盘地址

风华正茂999999 于 2014-6-11 14:15 id: 52010935241
回复 @123haoren757 :。。。。5-3.ys168.com。。那个病毒的文件夹。我就不信还不行。。。

123haoren757 于 2014-6-11 19:29 id: 52023180943
回复风华正茂999999 :得到样本！病毒名：Win32.Virut.cl，瑞星成功清除，清除后文件大小由25k变为8k。现在我将清除后文件上传到virscan看看。

123haoren757 于 2014-6-11 19:32 id: 52023346132
回复 123haoren757 :LZ文件有救。http://r.virscan.org/report/ded1af9c92b5343b64341b0840c10a53是清除后文件，只有1款报毒。

123haoren757 于 2014-6-11 19:36 id: 52023527663
回复 123haoren757 :http://r.virscan.org/report/6ded175ad11812c1f1219f498428d276这是LZ传的样本，70%的杀软(26/37)报告发现病毒

风华正茂999999 于 2014-6-12 15:50 id: 52064024214
顺便问下安装完的瑞星能直接在另一个电脑上运行吗

123haoren757 于 2014-6-12 18:40 id: 52070793132
回复风华正茂999999 :不建议楼主这样做，我可以把实机上的瑞星拷到虚拟机里进行测试。

123haoren757 于 2014-6-12 18:47 id: 52071107949
原因：一是这样杀毒软件没有驱动文件安装，即使能运行也不能起到防护作用。二是如果系统有病毒会导致杀毒软件自身被感染（这种方式复制的杀软没有自我保护功能）。所以我建议楼主在刚重装系统时就安装杀毒软件，其他什么也不要打开。如果病毒残留其他盘，打开该盘时可能由autorun.inf重新激活病毒

id: 51847945275
14L | 作者：newlife2017 | 发布于 2014-06-08 12:09

依我看你电脑里的硬盘只有挂载到另一个安装有靠谱安全软件的电脑上再查杀这一条活路了 ..

id: 51892361555
15L | 作者：y479O21776 | 发布于 2014-06-09 07:59

不明觉厉

id: 52024042686
16L | 作者：123haoren757 | 发布于 2014-06-11 19:48

现在我用虚拟机测试。

123haoren757 于 2014-06-11 20:27:52 id: 52025936776
楼主使用VISTA系统文件做样本，无法在虚拟机xp系统运行

做其他虚拟系统

123haoren757 于 2014-06-11 20:52:11 id: 52027142721
目前根据病毒名找到相似病毒。已经感染虚拟机。

123haoren757 于 2014-06-11 21:25:20 id: 52028876550
已成功清病毒

id: 52029396168
17L | 作者：123haoren757 | 发布于 2014-06-11 21:34

经过实验，给lz如下方案： 1、在其它电脑或手机有wifi时，下载杀毒软件（经测试，我机子上的瑞星能够清除即修复感染文件，供楼主参考），保存于u盘或sd卡中。注意最好是空u盘防止lz误操作使u盘exe被感染。手机sd卡一般无exe文件不考虑这点。2,重装系统3,重装完，千万不能双击打开除系统盘外的任何硬盘（否则系统就白装）

id: 52029607841
19L | 作者：123haoren757 | 发布于 2014-06-11 21:38

接楼上，4.即使是驱动也不要装！断网即可。5.安装杀毒软件，全盘查杀。6.处理后重新全盘查杀，确定无残余病毒。7.解决。

id: 52029973652
20L | 作者：123haoren757 | 发布于 2014-06-11 21:45

补充注意事项：1.如果楼主已经将被感染文件用360隔离，需要重装系统前从隔离区恢复！否则被感染文件如何回复呢?2.一定要记住不要打开除系统盘外的任何硬盘，关键中的关键.3.此病毒处理会繁琐，需要耐心

123haoren757 于 2014-06-11 21:49:56 id: 52030229081
第一项根据楼主楼中楼回复： :病毒是被压下去了，但是大多数 exe也被隔离了……考虑。请将隔离文件恢复，否则无法修复

id: 52030358379
21L | 作者：123haoren757 | 发布于 2014-06-11 21:52

目前就这些。楼主可以参考 .如果有什么困难或疑问，请楼主继续回复，我们一起解决.

风华正茂999999 于 2014-06-12 13:42:29 id: 52059303536
看完了。非常感谢，下次放假回去看看。

id: 52079088287
22L | 作者：123haoren757 | 发布于 2014-06-12 21:33

给LZ补个图。我H盘是手机SD卡，由于虚拟机测试时连接着电脑，就自动在之中生成了病毒文件userinit.exe。

风华正茂999999 于 2014-06-13 12:53:28 id: 52106780110
问一下瑞星能修复被感染的非系统文件吗？还有设只读、从地址栏打开文件会触发病毒吗？

123haoren757 于 2014-06-13 13:04:59 id: 52107323171
回复风华正茂999999 :原理上只要能清除系统文件就能清除非系统文件。LZ网络环境好的话也可以上传个非系统文件样本。有可能触发，请重装后第一件事就杀毒，然后再打开文件，否则容易触发。

123haoren757 于 2014-06-13 13:08:13 id: 52107476083
而且重装系统后系统文件都是原版未感染的，只要不触发病毒被感染的只剩非系统文件。其实最好是LZ上传一个非系统文件样本，不能运行的更好。只不过楼主网络已经抽了。如果楼主还没有重装系统，网络又尚可，可以尝试上传。重装后就别上传了，触发病毒。

风华正茂999999 于 2014-06-14 12:50:41 id: 52156326932
回复 @123haoren757 :好的。