Project1

标题: 与soundmix搏斗2次的经验 [打印本页]
作者: 雷欧纳德    时间: 2007-6-16 06:32
标题: 与soundmix搏斗2次的经验
最近学校流行这个病毒
不管机房还是打印店,只要你的U盘一插,就中毒了,然后回来自己电脑上一插,你机器就也中了
此病毒的特征为:发作后撤销所有exe文件的关联,就是说exe文件全部无法打开(windows都进不去,安全模式也不行)。
病毒未发作时特征:所有隐藏文件和文件夹都无法看到,勾选文件夹选项里显示隐藏文件,几秒后又自动变为不显示隐藏文件。进程管理器中有soundmix.exe进程,结束该进程后立刻重新生成该进程

杀毒软件测试:瑞星,金山,360安全卫士,瑞星卡卡都无法杀掉此木马
那么我们只能手动杀了

网上有很多方法,由于我3天杀了2次这个木马,所以提供最有效的措施
1。下载一个filekill,就是删除顽固文件的东西。
2。用filekill删除C:\windows\system32\soundmix.exe,别忘记勾选防止文件再生成
3。不要着急重启,如果此时病毒已经发作,你重启后就改进不了系统了,不要慌张,重启按F8,选择带命令行的安全模式。
4。用命令行打开regedit,找到HKEY_CLASSES_ROOT\exefile\shell\open\command,修改键值,把其中的“soundmix”值删除,即成为“"%1" %*”
5。搜索注册表,删除所有与soundmix有关的东西
6。重启计算机,发现可以正常进入了,但是仍然看不到隐藏文件
7。运行regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,把CheckedValue地值改成1
8。病毒已经被完全赶出计算机了,但是还有U盘~
9。插上U盘,不要打开U盘,直接格式化,选fat不要选fat32,格掉,然后再格一遍,这次用fat32。
10。在U盘里自己建个autorun.inf,防止再次染毒

完毕~~~第一次写这种技术类文章- -
作者: 雷欧纳德    时间: 2007-6-16 06:32
标题: 与soundmix搏斗2次的经验
最近学校流行这个病毒
不管机房还是打印店,只要你的U盘一插,就中毒了,然后回来自己电脑上一插,你机器就也中了
此病毒的特征为:发作后撤销所有exe文件的关联,就是说exe文件全部无法打开(windows都进不去,安全模式也不行)。
病毒未发作时特征:所有隐藏文件和文件夹都无法看到,勾选文件夹选项里显示隐藏文件,几秒后又自动变为不显示隐藏文件。进程管理器中有soundmix.exe进程,结束该进程后立刻重新生成该进程

杀毒软件测试:瑞星,金山,360安全卫士,瑞星卡卡都无法杀掉此木马
那么我们只能手动杀了

网上有很多方法,由于我3天杀了2次这个木马,所以提供最有效的措施
1。下载一个filekill,就是删除顽固文件的东西。
2。用filekill删除C:\windows\system32\soundmix.exe,别忘记勾选防止文件再生成
3。不要着急重启,如果此时病毒已经发作,你重启后就改进不了系统了,不要慌张,重启按F8,选择带命令行的安全模式。
4。用命令行打开regedit,找到HKEY_CLASSES_ROOT\exefile\shell\open\command,修改键值,把其中的“soundmix”值删除,即成为“"%1" %*”
5。搜索注册表,删除所有与soundmix有关的东西
6。重启计算机,发现可以正常进入了,但是仍然看不到隐藏文件
7。运行regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,把CheckedValue地值改成1
8。病毒已经被完全赶出计算机了,但是还有U盘~
9。插上U盘,不要打开U盘,直接格式化,选fat不要选fat32,格掉,然后再格一遍,这次用fat32。
10。在U盘里自己建个autorun.inf,防止再次染毒

完毕~~~第一次写这种技术类文章- -
作者: 西门吹雪    时间: 2007-6-16 06:34
这种病毒真的很顽强.
作者: devilcraft    时间: 2007-6-16 06:34
提示: 作者被禁止或删除 内容自动屏蔽
作者: 雷欧纳德    时间: 2007-6-16 06:37
可顽强了,故意把隐藏文件全部不显示,这样你就没办法去删除他。。。。。
作者: ю殘劒唫轌Θ    时间: 2007-6-16 06:37
幸亏我没有~呵呵~
作者: 精灵使者    时间: 2007-6-16 06:42
精灵提示:优化大师选择禁止光盘和u盘运行。如果插上未知的u盘的时候,请注意彻底杀毒。提示完毕。
作者: 基隆    时间: 2007-6-16 06:42
提示: 作者被禁止或删除 内容自动屏蔽
作者: 最后一个马甲    时间: 2007-6-16 06:46
10。在U盘里自己建个autorun.inf,防止再次染毒

这个怎么建?
作者: 雷欧纳德    时间: 2007-6-16 06:51
以下引用最后一个马甲于2007-6-15 22:46:14的发言:

10。在U盘里自己建个autorun.inf,防止再次染毒

这个怎么建?


随便建个文件,名字取这个就可以了
作者: 九泪    时间: 2007-6-16 13:41
不知道k8怎么样...期待今天的更新包能有针对这个木马的升级 。。。
作者: sizz123    时间: 2007-6-16 14:46
用xp_exe_fix就好了----十分方便的工具.
作者: pengtianlang    时间: 2007-6-16 17:29
我家有个病毒``
他独吞我家电脑,病毒和其他防盗版的东西全部无效
我想是不是我家的盗版金山做的``{/hx}
作者: 狄奥    时间: 2007-6-16 17:38
提示: 作者被禁止或删除 内容自动屏蔽
作者: 精灵使者    时间: 2007-6-16 18:27
以下引用狄奥于2007-6-16 9:38:42的发言:

病毒未发作时特征:所有隐藏文件和文件夹都无法看到,勾选文件夹选项里显示隐藏文件,几秒后又自动变为不显示隐藏文件。进程管理器中有soundmix.exe进程,结束该进程后立刻重新生成该进程

这个……我家电脑也是这样,但是……是Soundman……当时那人说没有完全复制,所以不会传染……只是……仍然无法显示隐藏文件……

首先,我方先用其他的进程工具(例如picaview)确定soundmix.exe的路径并记下。
这个。建议重启后进入命令行提示的安全模式
然后输入指令 attrib c:\*.* -h /s /d
取消所有文件/的文件夹属性
del ...\soundmix.exe /f
即使只读也要强制删除
把regedit.exe改称regedit.com运行,然后删除关于其路径的所有启动文件和文件夹。
把杀毒软件\防火墙的exe改为com,然后运行修复所有exe并全面杀毒。
最后就是把com改回exe搞定。
切记。所有的盘都不可设为自动运行(可在优化大师下设)




欢迎光临 Project1 (https://rpg.blue/) Powered by Discuz! X3.1