fuckjack病毒

sporain

今天我们公司的电脑内出现了好多熊猫头似的病毒,重起以后出现了FuckJack.exe病毒进程．有谁知道如何的彻底清除的办法啊？最好能提供一个专杀工具.

sporain

烈性木马FuckJacks.exe分类:IT

今天在某论坛收到一个样本Dd11.exe，图标是一个像熊猫的病毒，Kaspersky命名为Trojan-PSW.Win32.QQRob.ec，其他的反病毒软件基本上不报或者通过启发式能够查出来。
+ H; r& r$ i/ G- P- j9 G! @. v" F0 k病毒相当恶劣，编写水平也足以看得出非一般人所为。
5 v8 ]: a6 k; ?3 o************************************
Dd11.exe大小为30,465字节，FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
+ i$ J% f/ b- PFuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。
. ]8 Y2 g" h. O/ h  h1 Y3 H病毒激活时会不停的写注册表保证自己的启动项有效。
8 p+ f( ]! F* O+ ?病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会立刻进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项：
) s' Q" S7 [; W) G2 F[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
2 `1 @3 J3 [5 p# H$ _" j3 s"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
! T" z; N' u5 S3 v[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
' Q3 ^4 r. a* D+ n. o# n"svohost"="%SYSTEM%\\FuckJacks.exe"
5 ^& o# G" y0 @1 E4 _[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
( e( L0 O& \8 }& Y1 E1 y) R1 u' C% G"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除：
1、打开任务管理器，结束掉FuckJacks.exe进程。
6 K9 d$ o* t2 w' z6 ]7 \2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表，或者跳过这一步，不是特别重要。
& m$ q$ m$ p1 V& S5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除00000000到00007700的代码段，在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。

) Z, ^$ I$ w  {0 g我 用以上方法去找注册表,只找到了第三项,别的都没找到,把那个30K的文件也删了以为没事了谁知道一重起又发现了,而且这次连进程也关不掉了

sporain

我找到了一个专杀软件"Worm.Nimaya 专用清除工具",但是他怎么用啊,一打开就是记事本格式,还是乱码,请高手指点下

zhengh

瑞星有熊猫烧香专杀。

- m' q  I3 p" `0 h5 h. ][ 本帖最后由 zhengh 于 2006-12-1 21:35 编辑 ]

sporain

谢谢 兄弟~~!!!